Giacomo Lanzi
Attacco Magecart: cos’è e come proteggersi
Tempo di lettura stimato: 6 minuti
Ogni giorno sentiamo parlare di qualche nuova minaccia o vulnerabilità in ambito tecnologico. Ultimamente si parla dell’attacco di raccolta dati conosciuto come “Magecart”. Cerchiamo di capire di cosa si tratta e come possiamo fare per difenderci.
Magecart è un grande gruppo di hacker così come un tipico attacco che prende di mira principalmente i
carrelli della spesa dei negozi online. Questo tipo di attacco è diventato molto comune negli ultimi anni.
Cos’è l’attacco Magecart?
Gli hacker di Magecart di solito prendono di mira i negozi online sviluppati con Magento CMS e mirano a rubare le informazioni della carta di credito dei clienti. Questo tipo di attacco è anche conosciuto come supply chain attack, web skimming o e-skimming. Il codice JavaScript iniettato nel sorgente durante l’attacco è solitamente chiamato anch’esso Magecart.
Gli esperti di cyber security hanno notato questa attività del gruppo criminale nel 2010, anche se Magecart è diventato molto noto di recente. Per oltre 10 anni di osservazione, l’attacco Magecart è stato rilevato circa 2 milioni di volte. Dal 2010, Magecart è responsabile dell’hacking di più di 18.000 host. Per guidare il codice maligno, i criminali hanno utilizzato 573 domini con circa 10.000 link di download con malware Magecart.
Oggi i ricercatori segnalano una nuova serie di attacchi Mageсart. I criminali hanno cambiato le tattiche e gli attacchi automatizzati. Ora sono alla ricerca di target settati male per infettare i siti web e i file JavaScript che possono raggiungere. Da aprile 2019, i criminali informatici hanno compromesso oltre 17.000 domini pubblicando codice JavaScript (chiamato anche “skimmer“) su questi siti web.
Secondo Computerweekly, durante le pandemie di COVID-19 gli attacchi Magecart ai rivenditori online sono aumentati del 20%.
Come funziona l’attacco Magecart
Gli attacchi di data skimming come Magecart seguono tipicamente un modello ben stabilito. Devono ottenere tre cose per avere successo.
1. Accedere al sito
Ci sono tipicamente due modi in cui gli aggressori ottengono l’accesso al sito web e piazzano il codice di skimming. Possono introdursi nella tua infrastruttura o nel tuo server e mettere lì lo skimmer. Oppure, andranno da uno dei vostri fornitori di terze parti, specialmente se sono un bersaglio più facile, e infettano un tag di terze parti che eseguirà uno script dannoso sul vostro sito quando viene richiamato nel browser.
2. Raccogliere informazioni sensibili
Ci sono molti modi diversi in cui i gruppi possono catturare i dati, ma il codice di skimming è quasi sempre uno script JavaScript che ascolta le informazioni personali e le raccoglie. Si è visto un approccio in cui monitorano tutti i tasti premuti su una pagina sensibile o anche l’intercettazione dell’input in parti specifiche di un webform come i campi della carta di credito e del CVV. Generalmente, gli aggressori nascondono il codice dannoso all’interno di altro codice, che sembra benigno, per evitare il rilevamento.
3. Mandare i dati a un server
Questa è la parte più semplice dell’intero processo. Una volta che gli hacker hanno accesso al tuo sito web e raccolgono i dati che vogliono, il gioco è finito. Possono inviare le informazioni dai browser degli utenti finali a quasi ogni luogo su Internet.
Lo stato attuale
Come abbiamo già detto, l’attacco Magecart è distribuito principalmente tramite codice JavaScript dannoso iniettato in plugin scaricabili o add-on per negozi online Magento. Ultimamente, gli aggressori hanno iniziato a usare i banner pubblicitari per distribuire gli skimmer.
Nel 2019 durante un attacco lampo, i criminali informatici hanno violato quasi 1000 siti di e-commerce in sole 24 ore, dimostrando che non hanno agito manualmente, ma hanno invece utilizzato strumenti automatici. La maggior parte delle risorse colpite erano piccoli e-shop, anche se tra questi ci sono anche diverse grandi imprese.
Lo script di skimming è stato utilizzato per rubare informazioni dai visitatori dei negozi online, in particolare, i dati delle loro carte bancarie, nomi, numeri di telefono e indirizzi. Poi lo script registra tutti i dati inseriti nelle pagine di pagamento e li memorizza nel browser fino a quando la vittima aggiorna la pagina o passa a un’altra scheda. I dati rubati vengono poi inviati a un server controllato dai criminali informatici.
Come affrontare la situazione
Il problema con Magecart è che c’è molta confusione quando si tratta di proteggere effettivamente questi attacchi di skimming di carte basati sul web. Per esempio, l’auditing di un sito web su base regolare non può fermare gli attacchi, poiché il problema proviene da tag di terze parti, che l’auditing non rileverà.
Il consiglio per i team IT è di adottare un approccio zero-trust con JavaScript sui loro siti, iniziando con una politica per bloccare l’accesso di default a qualsiasi informazione sensibile inserita nei moduli web e nei cookie memorizzati. Da lì, si permette solo a un insieme selezionato di script controllati (di solito solo i propri) di accedere ai dati sensibili. E come risultato, se questo tipo di codice di skimming entra nel sito, semplicemente non può accedere a nessuna delle informazioni sensibili.
Sfortunatamente i browser web non forniscono questo tipo di funzionalità, quindi i team IT devono implementare i propri approcci di protezione o portare tecnologia da fornitori esterni specializzati nella protezione contro questo tipo di attacchi.
Come proteggersi attivamente
Per proteggere la tua azienda dagli attacchi Magecart, fai un inventario completo delle tue risorse digitali utilizzando il nostro servizio di CTI. Successivamente, trova tutte le possibili applicazioni web e mobili, imposta un punteggio di sicurezza per ciascuna di esse e mostra quali app sono da correggere e mettere al sicuro. Il servizio, inoltre, può cercare nel Dark Web, negli archivi cloud e nei repository di codice tutte le possibili fughe di dati.
L’approccio adottato è proattivo e si basa sulla ricerca di compromissioni prima che queste si siano manifestate. Questo approccio, che gestisce in modo attivo la superficie di attacco e scandaglia il dark web, permette di ottenere una visione completa dello stato di sicurezza del sistema digitale.
Dopo un inventario completo si può procedere con un Penetration Test per verificare la situazione e proteggere la vostra azienda da qualsiasi minaccia alla sicurezza. L’attaco Magecart, così come altri metodi di attacco più moderni che i criminali informatici inventano costantemente, possono essere contrastati solo con questo tipo di approccio proattivo, mantenendo alta la guardia.
Per qualunque domanda o per sapere come i nostri servizi possono mettere al sicuro il tuo business, non esitare a contattarci.
Link utili:
Condividi
RSS
Piu’ articoli…
- CIS Controls e Vulnerability Assessment: guida pratica all’adozione delle best practice
- Analisi della postura di sicurezza: guida completa per rafforzare la cybersecurity
- Deception vs EDR: qual è la migliore strategia di difesa dalle minacce?
- Deception: Ingannare gli Hacker per Proteggere la Tua Rete
- Active Defence Deception: la cybersecurity che batte gli hacker con le loro stesse armi
- Decezione informatica: cos’è, come funziona e perché è fondamentale per la cybersecurity
- CSIRT e SOC: differenze tra gestione degli incidenti e monitoraggio della sicurezza
- CSIRT: rispondere agli incidenti IT per proteggere il business
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (17)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (202)
- Cyber Threat Intelligence (CTI) (8)
- Decemption (4)
- Ethical Phishing (9)
- Penetration Test (15)
- Posture Guard (1)
- SOCaaS (65)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- Aggiornamenti per Elasticsearch
(AL01/230925/CSIRT-ITA) Settembre 25, 2023Elastic NV rilascia aggiornamenti di sicurezza per sanare una vulnerabilità in Elasticsearch, noto server di ricerca e analisi basato su Lucene. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato la compromissione della disponibilità del servizio sui dispositivi interessati.
- La Settimana Cibernetica del 24 settembre 2023 Settembre 25, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 18 al 24 settembre 2023.
- Vulnerabilità in prodotti QNAP
(AL02/230922/CSIRT-ITA) Settembre 22, 2023Aggiornamenti di sicurezza QNAP risolvono 2 vulnerabilità con gravità “alta” che interessano i prodotti QTS e Multimedia Console.
- Aggiornamenti di sicurezza Apple
(AL01/230922/CSIRT-ITA) Settembre 22, 2023Apple ha rilasciato aggiornamenti di sicurezza per sanare 3 vulnerabilità di tipo 0-day che interessano i propri prodotti.
- Aggiornamenti per Kibana
(AL05/230921/CSIRT-ITA) Settembre 21, 2023Elastic NV rilascia aggiornamenti di sicurezza per sanare una vulnerabilità con gravità “critica” in Kibana, nota piattaforma di visualizzazione dati. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato di accedere a informazioni sensibili nel file di log di Kibana.
- Rilevate vulnerabilità in prodotti Atlassian
(AL04/230921/CSIRT-ITA) Settembre 21, 2023Aggiornamenti di sicurezza sanano 4 vulnerabilità presenti in vari prodotti Atlassian.
- Aggiornamenti per ISC BIND
(AL03/230921/CSIRT-ITA) Settembre 21, 2023Aggiornamenti di sicurezza ISC sanano 2 vulnerabilità con gravità “alta” nel prodotto BIND che potrebbero comportare la compromissione della disponibilità del servizio.
- Aggiornamenti DRUPAL
(AL02/230921/CSIRT-ITA) Settembre 21, 2023Aggiornamenti di sicurezza risolvono una vulnerabilità, con gravità “critica”, in Drupal Core.
- Aggiornamenti di sicurezza per Jenkins Core
(AL01/230921/CSIRT-ITA) Settembre 21, 2023Rilasciato il Jenkins Security Advisory di settembre che risolve 2 vulnerabilità in Jenkins (Core) weekly e LTS.
- Rilevato sfruttamento in rete della CVE-2023-41179 relativa a prodotti Trend Micro
(AL01/230920/CSIRT-ITA) Settembre 20, 2023Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-41179 – già sanata dal vendor – presente in alcuni prodotti Trend Micro per la protezione degli endpoint.
Dark Reading
- Don't Get Burned by CAPTCHAs: A Recipe for Accurate Bot Protection Settembre 25, 2023Traditional CAPTCHAs, such as reCAPTCHA, no longer protect online businesses adequately. Real users hate them. Bots bypass them. It's time to upgrade.
- ASPM Is Good, But It's Not a Cure-All for App Security Settembre 23, 2023What application security posture management does, it does well. But you'll still need to fill in some holes, especially concerning API security.
- Recast Software Acquires Liquit, Consolidating the Endpoint and Application Management Markets Settembre 22, 2023
- ClassLink Provides Cybersecurity Training Course to Help Schools Protect Public Directory Data Settembre 22, 2023
- Wing Security Launches Compliance-Grade SaaS Security Solution for Just $1.5K Settembre 22, 2023
- Latest Acquisition Powers AI-based Network Detection and Response and Open XDR Capabilities for WatchGuard Settembre 22, 2023
- TikTok API Rules Stymie Analysis of US User Data, Academics Say Settembre 22, 2023Terms of service for API access give TikTok publication review over findings and limit access to critical data on the platform's impact on US users, researchers say.
- Hackers Let Loose on Voting Gear Ahead of US Election Season Settembre 22, 2023Ethical hackers were given voluntary access to digital scanners, ballot markers, and electronic pollbooks, all in the name of making the voting process more resilient to cyber threats.
- Akira Ransomware Mutates to Target Linux Systems, Adds TTPs Settembre 22, 2023The newly emerged ransomware actively targets both Windows and Linux systems with a double-extortion approach.
- NFL, CISA Look to Intercept Cyber Threats to Super Bowl LVIII Settembre 22, 2023The league is working with more than 100 partners to workshop responses to a host of hypothetical cyberattacks on the upcoming Big Game in Las Vegas.
Full Disclosure
- APPLE-SA-2023-09-21-6 macOS Ventura 13.6 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-6 macOS Ventura 13.6 macOS Ventura 13.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213931. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Additional CVE entries coming soon. Kernel Available for: macOS […]
- APPLE-SA-2023-09-21-7 macOS Monterey 12.7 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-7 macOS Monterey 12.7 macOS Monterey 12.7 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213932. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Additional CVE entries coming soon. Kernel Available for: macOS […]
- APPLE-SA-2023-09-21-5 watchOS 9.6.3 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-5 watchOS 9.6.3 watchOS 9.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213929. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Kernel Available for: Apple Watch Series 4 and later Impact: A […]
- APPLE-SA-2023-09-21-4 watchOS 10.0.1 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-4 watchOS 10.0.1 watchOS 10.0.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213928. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Kernel Available for: Apple Watch Series 4 and later Impact: A […]
- APPLE-SA-2023-09-21-3 iOS 16.7 and iPadOS 16.7 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-3 iOS 16.7 and iPadOS 16.7 iOS 16.7 and iPadOS 16.7 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213927. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Additional CVE entries coming soon. […]
- APPLE-SA-2023-09-21-2 iOS 17.0.1 and iPadOS 17.0.1 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-2 iOS 17.0.1 and iPadOS 17.0.1 iOS 17.0.1 and iPadOS 17.0.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213926. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. Kernel Available for: iPhone XS […]
- APPLE-SA-2023-09-21-1 Safari 16.6.1 Settembre 23, 2023Posted by Apple Product Security via Fulldisclosure on Sep 22APPLE-SA-2023-09-21-1 Safari 16.6.1 Safari 16.6.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT213930. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. WebKit Available for: macOS Big Sur and Monterey Impact: Processing web […]
- Advisory X41-2023-001: Two Vulnerabilities in OPNsense Settembre 23, 2023Posted by X41 D-Sec GmbH Advisories via Fulldisclosure on Sep 22Advisory X41-2023-001: Two Vulnerabilities in OPNsense =========================================================== Highest Severity Rating: High Confirmed Affected Versions: 23.1.11_1, 23.7.3, 23.7.4 Confirmed Patched Versions: Commit 484753b2abe3fd0fcdb73d8bf00c3fc3709eb8b7 Vendor: Deciso B.V. / OPNsense Vendor URL: https://opnsense.org Credit: X41 D-Sec GmbH, Yasar Klawohn and JM Status: Public Advisory-URL:...
- SEC Consult SA-20230918-0 :: Authenticated Remote Code Execution and Missing Authentication in Atos Unify OpenScape Settembre 18, 2023Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 18SEC Consult Vulnerability Lab Security Advisory < 20230918-0 > ======================================================================= title: Authenticated Remote Code Execution and Missing Authentication product: Atos Unify OpenScape Session Border Controller Atos Unify OpenScape Branch Atos Unify OpenScape BCF vulnerable version: OpenScape SBC...
- SEC Consult SA-20230829-0 :: Reflected Cross-Site Scripting (XSS) in PTC - Codebeamer (ALM Solution) Settembre 18, 2023Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 18SEC Consult Vulnerability Lab Security Advisory < 20230829-0 > ======================================================================= title: Reflected Cross-Site Scripting (XSS) product: PTC - Codebeamer (ALM Solution) vulnerable version: =21.09-SP14 CVE number: CVE-2023-4296...
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- CIS Controls e Vulnerability Assessment: guida pratica all’adozione delle best practice Settembre 25, 2023
- Analisi della postura di sicurezza: guida completa per rafforzare la cybersecurity Agosto 21, 2023
- Deception vs EDR: qual è la migliore strategia di difesa dalle minacce? Agosto 16, 2023
- Deception: Ingannare gli Hacker per Proteggere la Tua Rete Agosto 14, 2023
- Active Defence Deception: la cybersecurity che batte gli hacker con le loro stesse armi Agosto 9, 2023
Recensioni Google
Contatti
© 2023 Secure Online Desktop s.r.l. All Rights Reserved. Registered Office: via dell'Annunciata 27 – 20121 Milan (MI), Operational Office: via statuto 3 - 42121 Reggio Emilia (RE) – PEC [email protected] Tax code and VAT number 07485920966 – R.E.A. MI-1962358 Privacy Policy - ISO Certifications