Shell web PHP dannose, mascherate da favicon – ossia quei piccoli loghi che si vedono alla sinistra della barra dell’url quando si naviga sui siti in cui sono implementati – per mantenere l’accesso remoto ai server compromessi ed iniettare degli skimmer JavaScript nelle piattaforme di shopping online per poi rubare i dati delle carte di credito.
È questa l’ultima frontiera degli attacchi Magecart che, sebbene presenti fin dal 2016, sono saliti alla ribalta solamente nel 2019 quando questi e-skimming, o anche chiamati formjacking, sono stati usati dagli hacker nordcoreani di Lazarus per rubare i dettagli delle carte di pagamento degli utenti degli store online di alcune catene di negozi, tra i quali Claire’s e Macy’s.
Dall’inizio della pandemia questa tipologia di attacchi è in costante aumento anche grazie al maggior utilizzo delle piattaforme di e-commerce online, con quest’ultime che troppo frequentemente sono impreparate dinnanzi a questo vettore di attacchi.
Spesso e volentieri in questi casi viene utilizzato dall’attaccante un sito con un nome ed una grafica molto simili al brand del cliente compromesso ma con un diverso dominio di primo livello, così da poter ingannare la vittima facendo sembrare il dominio legittimo.
Come ricostruito dettagliatamente in un precedente articolo, quando un sito e-commerce viene compromesso nella pagina di checkout che contiene il modulo di pagamento, lo script malevolo tenta di leggere tutti gli input presenti (numero di carta di credito, nome del titolare della carta, cvv, data di scadenza), applicando l’algoritmo di cifratura e inviandolo al server dell’attaccante.
Gli ingegneri di Malwarebytes Labs hanno scoperto che questa volta le web shell Smilodon o Megalodon vengono utilizzate per caricare dinamicamente il codice JavaScript tramite le richieste lato server nei negozi online.
Si tratta di tecniche molto spesso non rilevabili dagli antivirus lato client proprio perché, rispetto a quanto avveniva in passato, il codice dello skimmer viene introdotto nel sito del commerciante dinamicamente sul lato server e non più prevedendo che la richiesta lato client indirizzasse ad una risorsa esterna malevole.
Più in particolare, il malware viene inserito nei siti compromessi manomettendo i tag dell’icona di collegamento nel codice HTML per puntare al falso file di immagine .png. Questa web shell prevede che poi, in un secondo momento, i dati man mano “tracciati” siano raccolti dai malintenzionati e sfruttati per truffe, frodi virtuali, campagne di phishing e spam verso soggetti mirati.
Secondo i ricercatori di Malwarebytes questa nuova campagna è opera di Magecart Group 12, un collettivo che lo scorso anno aveva avuto a che fare con Magento e l’attacco CardBleed, così come ribattezzato da Sansec. Lazarus invece, appurato quanto sia redditizio lo scamming, secondo alcuni esperti ha dato il via alla campagna BTC Changer, concentrandosi su attacchi mirati a rubare bitcoin e altre monete virtuali.
