mercoledì 9 dicembre 2020

Si scatena lo shopping online...e i truffatori: campagna malware per rubare le carte di credito prende di mira gli e-commerce che usano Magento


Si sono mossi per tempo, iniziando a bersagliare e infiltrare store online basati su Magento fino dall'Aprile 2020: parliamo del gruppo di cyber truffatori famosi per il loro attacco Magecart. E' così che sono riusciti a compromettere un altissimo numero di store online in tempo per quella stagione matta degli acquisti che inizia col Black Friday e si conclude con le festività natalizie. Scopo dell'attacco? Rubare le carte di credito di quelle migliaia e migliaia di persone che, anche spinte dal contesto pandemico, decideranno di acquistare regali online. 

Magecart in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantoché la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot, la Warner Music Group (WMG) ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poiché le violazioni MageCart sono molto difficili da individuare

La campagna di attacco: qualche dettaglio in più

Gli attaccanti hanno preso di mira store online basati su Magento dalla v. 2.2.3 alla 2.2.7 e, sfruttando molteplici falle di sicurezza presenti in queste versioni obsolete di Magento, sono riusciti ad infiltrarli distribuendo due script: una backdoor per garantire l'accesso allo store e uno script specializzato nel furto di carte di credito che consente loro di intercettare e ricevere i dati della carta di debito / credito usata dall'utente. 

Questi "skimmer" sono solitamente basati su JavaScript e, per quanto specializzati nel furto dei dati delle carte di credito, in alcune versioni rubano anche dati personali degli utenti (nome e cognome, account email e credenziali di accesso al sito di pagamento, geolocalizzazione...). L'attacco è comunque possibile solo perché permangono online molti, anzi troppi, store online obsoleti, fallati e con scarse misure di sicurezza. 

In questo caso risulta utilizzata una complessa infrastruttura che utilizza un malware che agisce sia nel back end che nel front end e non solo: i malware sono protetti da una lunga serie di contromisure che, in pratica, hanno consentito di evitare la rimozione dagli archivi, anche nel caso in cui siano stati individuati. Si, quello usato dal gruppo Magecart è praticamente un malware che non si può rimuovere. Oltre a garantirsi, via backdoor, possibilità infinite di reinstallazione, questo malware funziona in maniera tale da far sembrare legittima una transazione fraudolenta: lo script mostra infatti un form di pagamento personalizzato che imita l'interfaccia del form del sito compromesso quindi invia i dati rubati agli attaccanti. Le misure di sicurezza e monitoraggio del sito di e-commerce avranno grosse difficoltà a cogliere l'attività fraudolenta dietro una transazione apparentemente legittima. 

Lo script Magecart Skimmer - Fonte Sansec

Tutto il potere alle backdoor
Perno della persistenza dell'attacco è la backdoor nascosta: tramite questa gli attaccanti sono riusciti a reinfiltrare il server e reinstallare il malware a pochi giorni dalla pulizia completa di quegli store che, accortisi della violazione, hanno tentato di ripulire i server. Non solo: la backdoor è anche il perno su cui poggiano ulteriori attività dannose. Al momento di infiltrare un server infatti gli attaccanti distribuiscono: 

  • una backdoor usata per distribuire ulteriori payload dannosi;
  • una backdoor "di controllo" in esecuzione come processo di sistema nascosto, necessaria al ripristino della backdoor nel caso in cui questa venga rimossa dal proprietario o amministratore del sito;
  • lo script di Magecart, con le componenti back end e fronte end, per il furto dei dati degli utenti;
  • una logger di password usato per individuare le credenziali di amministrazione. Il logger è estremamente insidioso perchè continuerà a intercettare e inviare agli attaccanti le credenziali di admin anche nel caso in cui gli operatori di Magecart dovessero perdere completamente l'accesso al server del sito di e-commerce violato e non riuscissero a ripristinarlo. 
Il logger delle password di Admin - Fonte Sansec

Nessun commento:

Posta un commento