Campagna di attacchi di web skimming
I ricercatori di sicurezza informatica hanno scoperto una campagna di web skimming su larga scala, attiva da gennaio 2022. L'operazione prende di mira le aziende che si affidano ai principali circuiti di pagamento, tra cui American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard e UnionPay. Le aziende che integrano questi servizi di pagamento nei propri sistemi di pagamento online sono considerate a rischio più elevato.
Sommario
Skimming digitale e l’evoluzione di Magecart
Gli attacchi di digital skimming sono una forma di compromissione lato client in cui gli autori delle minacce iniettano codice JavaScript dannoso in siti di e-commerce e portali di pagamento legittimi. Il codice iniettato raccoglie silenziosamente i dati delle carte di credito e le informazioni personali dei clienti mentre questi inseriscono i propri dati di pagamento.
Questa attività rientra nella categoria più ampia comunemente nota come Magecart. Il termine originariamente descriveva un insieme eterogeneo di gruppi di criminali informatici concentrati su siti di e-commerce basati su Magento, ma da allora si è esteso fino a comprendere operazioni di skimming su diverse piattaforme e tecnologie.
Infrastrutture legate all’evasione delle sanzioni
La campagna è stata individuata durante un'indagine su un dominio sospetto associato a Stark Industries, un provider di hosting a prova di bomba che è stato sanzionato. La sua società madre, PQ.Hosting, ha successivamente rinominato il servizio in THE.Hosting, ora gestito dall'entità olandese WorkTitans BV, presumibilmente per eludere le sanzioni.
È stato scoperto che il dominio cdn-cookie(dot)com ospitava file JavaScript fortemente offuscati, come 'recorder.js' e 'tab-gtm.js'. Questi script venivano incorporati in negozi online compromessi, dove consentivano lo skimming occulto delle carte di credito.
Furtività attraverso l’autodistruzione e la consapevolezza ambientale
Lo skimmer è stato progettato per eludere attivamente il rilevamento da parte degli amministratori del sito. Ispeziona il Document Object Model per rilevare la presenza di "wpadminbar", un elemento della barra degli strumenti visibile quando gli amministratori di WordPress o gli utenti con privilegi sono connessi. Se questo elemento viene rilevato, il malware attiva immediatamente una routine di auto-rimozione, eliminandosi dalla pagina.
Per mantenere la persistenza durante la normale navigazione, lo skimmer tenta l'esecuzione ogni volta che cambia il DOM della pagina, un evento comune durante l'interazione dell'utente sui siti web moderni.
Trasformare Stripe in un’arma con la manipolazione dell’interfaccia
Il codice dannoso contiene una logica specifica progettata per sfruttare i flussi di pagamento basati su Stripe. Quando si seleziona Stripe, lo skimmer verifica la presenza di una voce localStorage denominata "wc_cart_hash". Se il valore non esiste, crea la chiave e si prepara a raccogliere i dati.
A quel punto, il malware sostituisce dinamicamente il modulo di pagamento Stripe legittimo con uno contraffatto. Attraverso una subdola manipolazione dell'interfaccia, le vittime vengono ingannate e indotte a inserire il numero della carta, la data di scadenza e il codice CVC nel modulo falso.
Dopo l'invio, la pagina restituisce un messaggio di errore, facendo sembrare che il pagamento non sia andato a buon fine a causa di informazioni errate anziché a causa di un'interferenza dannosa.
Furto di dati, esfiltrazione e pulizia
Le informazioni rubate vanno oltre i dati della carta di pagamento e includono nomi completi, numeri di telefono, indirizzi email e indirizzi di spedizione. Lo skimmer trasmette questi dati tramite una richiesta HTTP POST a lasorie(punto)com.
Una volta completato il processo di esfiltrazione, il malware rimuove il modulo falso, ripristina l'interfaccia legittima di Stripe ed elimina le tracce della sua attività dalla pagina di pagamento. Quindi imposta 'wc_cart_hash' su 'true', assicurando che lo skimmer non venga eseguito nuovamente per la stessa vittima.
Una catena di attacco basata su una profonda conoscenza della piattaforma
I ricercatori sottolineano che l'autore della minaccia dimostra una conoscenza approfondita delle componenti interne di WordPress e sfrutta anche funzionalità della piattaforma meno note come parte del flusso di attacco. Questa profonda conoscenza, combinata con sofisticate tecniche di elusione e manipolazione dell'interfaccia, sottolinea la maturità e la persistenza dell'operazione.
