È stata scoperta una sofisticata campagna di web skimming Magecart che sta prendendo di mira un ampio elenco di siti web utilizzando tre tecniche avanzate di occultamento, di cui una di alto livello e completamente nuova: la manipolazione della pagina di errore 404 predefinita del sito Web per nascondere il codice dannoso.
La campagna ha preso di mira principalmente i siti Web basati su Magento e WooCommerce, con alcune vittime appartenenti a importanti organizzazioni nel settore alimentare e della vendita al dettaglio. La campagna è attiva da alcune settimane e, in alcuni casi, da più tempo.
Gli attacchi Magecart coinvolgono generalmente l’uso di vulnerabilità nei siti web presi di mira o servizi di terze parti, ma in questo caso, il codice dannoso è stato inserito direttamente nelle risorse dei siti web vittime. In alcuni casi il codice dannoso veniva inserito nelle pagine HTML; in altri casi, era nascosto all’interno di uno degli script proprietari caricati come parte del sito web.
Come in molte altre campagne Magecart, anche l’infrastruttura di questo è composta da tre parti principali:
- Il loader: frammenti di codice JavaScript brevi e oscuri responsabili del caricamento dell’intero codice dannoso dell’attacco
- Il codice malevolo: il codice JavaScript principale che esegue l’attacco, che rileva input sensibili, legge i dati, interrompe il processo di pagamento e inserisce moduli falsi
- L’esfiltrazione dei dati: il metodo utilizzato per trasmettere i dati rubati al server di comando e controllo (C2) dell’aggressore.
Questa divisione rende l’attacco più discreto e difficile da rilevare, poiché viene attivato solo sulle pagine specifiche prese di mira. La campagna presenta tre diverse varianti, ciascuna con lievi differenze nella parte del caricatore, che mostrano l’evoluzione delle tattiche utilizzate dagli aggressori per eludere il rilevamento.
La variante uno usa un tag immagine HTML non valido con un attributo “onerror” per offuscare il caricatore. La variante due è simile alla prima, ma maschera il caricatore come un noto servizio di monitoraggio delle attività dei visitatori di Facebook. Entrambe le varianti utilizzano canali WebSocket per comunicare con il server C2 dell’aggressore.
La terza variante è particolarmente interessante poiché sfrutta la pagina di errore 404 predefinita del sito web per nascondere il codice dannoso. Questa variante maschera il caricatore sia come snippet di codice Meta Pixel che all’interno di script online casuali sulla pagina. In alcuni casi, utilizza la pagina di errore 404 predefinita del sito Web per nascondere il codice dannoso.
Questa tecnica di occultamento è stata descritta come altamente innovativa e rappresenta una sfida significativa per la rilevazione e la mitigazione degli attacchi. Le altre due tecniche di offuscamento dimostrano l’evoluzione delle tattiche utilizzate dagli aggressori per sfuggire al rilevamento e allungare la catena di attacco.
La campagna utilizza diverse tecniche di esfiltrazione dei dati, compresa l’inserimento di moduli falsi in alcuni casi, che consente di rubare le informazioni personali degli utenti, e dimostra che le tecniche di web skimming stanno diventando sempre più sofisticate e richiedono un’attenzione costante da parte delle organizzazioni per proteggersi da queste minacce in continua evoluzione.
In sintesi, questa campagna Magecart rilevata da Akamai, evidenzia l’evoluzione costante delle tecniche di attacco e la necessità per le organizzazioni di rimanere vigili e adottare approcci avanzati per proteggersi da tali minacce.
https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer