La Rivista Del Manifesto
Nero Su Bianco

Gli hacker di Magecart nascondono i dati della carta di credito rubata nelle immagini per l’esfiltrazione evasiva

Gli attori del cybercrime che fanno parte del gruppo Magecart si sono attaccati a una nuova tecnica per offuscare il codice malware all’interno dei blocchi di commento e codificare i dati della carta di credito rubata in immagini e altri file ospitati sul server, dimostrando ancora una volta come gli aggressori migliorano continuamente le loro catene di infezione per sfuggire al rilevamento.

MageCart è il termine generico dato a più gruppi di criminali informatici che prendono di mira i siti Web di e-commerce con l’obiettivo di saccheggiare i numeri delle carte di credito iniettando skimmer JavaScript dannosi e vendendoli sul mercato nero.

Sucuri ha attribuito l’attacco al Magecart Group 7 sulla base di sovrapposizioni nelle tattiche, nelle tecniche e nelle procedure (TTP) adottate dall’autore della minaccia.

In un caso di infezione del sito Web di e-commerce Magento indagato dalla società di sicurezza di proprietà di GoDaddy, è stato riscontrato che lo skimmer è stato inserito in uno dei file PHP coinvolti nel processo di checkout sotto forma di stringa compressa con codifica Base64.

Inoltre, per mascherare ulteriormente la presenza di codice dannoso nel file PHP, si dice che gli avversari abbiano utilizzato una tecnica chiamata concatenazione in cui il codice è stato combinato con blocchi di commenti aggiuntivi che “non fanno nulla dal punto di vista funzionale ma aggiungono uno strato di offuscamento rendendolo un po’ più difficile da rilevare.”

In definitiva, l’obiettivo degli attacchi è catturare i dettagli della carta di pagamento dei clienti in tempo reale sul sito Web compromesso, che vengono quindi salvati in un file di fogli di stile fasullo (.CSS) sul server e scaricati successivamente alla fine dell’autore della minaccia fare una richiesta GET.

“MageCart è una minaccia in continua crescita per i siti di e-commerce”, ha affermato Martin. “Dal punto di vista degli aggressori: le ricompense sono troppo grandi e le conseguenze inesistenti, perché non dovrebbero? Le fortune letterali sono fatte [da] rubare e vendere carte di credito rubate sul mercato nero”.