venerdì 26 novembre 2021

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l'alert è "reale" nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart. 

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt'altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l'ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online

Partiamo dall'inizio: MageCart, ovvero il "Carrello dei Maghi"  è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c'è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc... Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto. 

E' utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17%  degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L'alert dell'NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday. 

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo. 

MageCart e il web skimming: la tecnica di attacco

Il gruppo MageCart utilizza una tecnica di attacco nota come web skimming. Iniettano nel sito e-commerce un Javascript dannoso e da quel momento tutti i dettagli di pagamento inseriti dagli utenti nel sito target finiscono in mani agli attaccanti. Molto gettonati sono gli attacchi contro i negozi self-hosting, più raramente invece si infiltrano direttamente dentro le piattaforme in cloud o tramite aziende di terze parti che forniscono pubblicità e analytics agli stessi shop online. 

Il risultato? Gli attaccanti restano latenti ma attivi entro i siti per settimane, mesi, in alcuni casi anche anni senza essere scoperti, perchè il Javascript dannoso alla base del furto degli estremi delle carte di credito è praticamente impercettibile, così come sono estremamente difficili da individuare le sue attività. 

MageCart si è evoluto: migliorie alla tecnica di attacco
Recentemente Malwarebytes ha annunciato di aver individuato e analizzato una campagna di web skimming afferente a MageCart che prevedeva meccanismi in grado di eludere macchine virtuali e sandbox: un sistema per bypassare i sistemi di sicurezza e riuscire ad eseguirsi esclusivamente su macchine reali. Semplicemente gli attaccanti ricercano nella macchina bersaglio specifici valori che indicano la presenza di software di virtualizzazione usando l'API Javascript WebGL. 

Questa verifica gli permette di evitare, inoltre, quelle macchine "trappola" dette honeypot che i ricercatori mettono in rete cercando di attirare gli attaccanti: scopo del gioco è portare gli attaccanti ad eseguire il loro malware in un ambiente controllato (VM o sandbox) per poter procedere così ad analisi del malware. Inutile dire quanto sia vitale per gli attaccanti evitare tali analisi che rischiano di portare allo scoperto limiti e vulnerabilità del javascript alla base della campagna e di portare alla pubblicazione di IoC. 

I controlli anti VM di MageCart. Fonte: Malwarebytes

L'alert del National Cyber Security Centre (NCSC) del Regno Unito
L'NCSC oltre all'alert pubblico, ha avvisato direttamente oltre 4000 negozi online che forse non avevano alcuna consapevolezza del fatto di essere stati violati (4151 invece sono state violate nel solo mese di Settembre). Alcuni di questi sono stati addirittura violati senza accedere al sito web perchè il codice dannoso Java è stato iniettato direttamente a livello di router. Per questo l'NCSC ha ribadito con forza, nell'alert, che è fondamentale che i gestori / possessori di questi 4000 e-shop si adeguino per colmare ogni falla e vulnerabilità. La quasi totalità degli e-shop target esegue Magento, popolarissima piattaforma di e-commerce open source, affetta da una vulnerabilità attivamente sfruttata dagli attaccanti. 

Mitigazioni possibili per gli utenti: alcune indicazioni di base
Il rischio non è mai azzerabile, ma è minimizzabile. Queste sono le indicazioni di mitigazione per gli utenti che vogliono effettuare shopping online:

  • disporre di soluzioni antivirus e firewall che impediscano l'esecuzione arbitraria di codice e accessi illegittimi;
  • aggiornare periodicamente browser e sistemi operativi per ridurre al minimo le vulnerabilità sfruttabili;
  • valutare adblocker che verifichino / blocchino script, popup e ads;
  • evitare il pagamento online su store sconosciuti o sospetti o con cattiva fama. 

Nessun commento:

Posta un commento