Attacco Magecart Hacker Giacomo Lanzi

Attacco Magecart: cos’è e come proteggersi

Tempo di lettura stimato: 6 minuti

Ogni giorno sentiamo parlare di qualche nuova minaccia o vulnerabilità in ambito tecnologico. Ultimamente si parla dell’attacco di raccolta dati conosciuto come “Magecart”. Cerchiamo di capire di cosa si tratta e come possiamo fare per difenderci.

Magecart è un grande gruppo di hacker così come un tipico attacco che prende di mira principalmente i
carrelli della spesa dei negozi online.
Questo tipo di attacco è diventato molto comune negli ultimi anni.

Cos’è l’attacco Magecart?

Gli hacker di Magecart di solito prendono di mira i negozi online sviluppati con Magento CMS e mirano a rubare le informazioni della carta di credito dei clienti. Questo tipo di attacco è anche conosciuto come supply chain attack, web skimming o e-skimming. Il codice JavaScript iniettato nel sorgente durante l’attacco è solitamente chiamato anch’esso Magecart.

Gli esperti di cyber security hanno notato questa attività del gruppo criminale nel 2010, anche se Magecart è diventato molto noto di recente. Per oltre 10 anni di osservazione, l’attacco Magecart è stato rilevato circa 2 milioni di volte. Dal 2010, Magecart è responsabile dell’hacking di più di 18.000 host. Per guidare il codice maligno, i criminali hanno utilizzato 573 domini con circa 10.000 link di download con malware Magecart.

Oggi i ricercatori segnalano una nuova serie di attacchi Mageсart. I criminali hanno cambiato le tattiche e gli attacchi automatizzati. Ora sono alla ricerca di target settati male per infettare i siti web e i file JavaScript che possono raggiungere. Da aprile 2019, i criminali informatici hanno compromesso oltre 17.000 domini pubblicando codice JavaScript (chiamato anche “skimmer“) su questi siti web.

Secondo Computerweekly, durante le pandemie di COVID-19 gli attacchi Magecart ai rivenditori online sono aumentati del 20%.

Attacco Magecart Javascript

Come funziona l’attacco Magecart

Gli attacchi di data skimming come Magecart seguono tipicamente un modello ben stabilito. Devono ottenere tre cose per avere successo.

1. Accedere al sito

Ci sono tipicamente due modi in cui gli aggressori ottengono l’accesso al sito web e piazzano il codice di skimming. Possono introdursi nella tua infrastruttura o nel tuo server e mettere lì lo skimmer. Oppure, andranno da uno dei vostri fornitori di terze parti, specialmente se sono un bersaglio più facile, e infettano un tag di terze parti che eseguirà uno script dannoso sul vostro sito quando viene richiamato nel browser.

2. Raccogliere informazioni sensibili

Ci sono molti modi diversi in cui i gruppi possono catturare i dati, ma il codice di skimming è quasi sempre uno script JavaScript che ascolta le informazioni personali e le raccoglie. Si è visto un approccio in cui monitorano tutti i tasti premuti su una pagina sensibile o anche l’intercettazione dell’input in parti specifiche di un webform come i campi della carta di credito e del CVV. Generalmente, gli aggressori nascondono il codice dannoso all’interno di altro codice, che sembra benigno, per evitare il rilevamento.

3. Mandare i dati a un server

Questa è la parte più semplice dell’intero processo. Una volta che gli hacker hanno accesso al tuo sito web e raccolgono i dati che vogliono, il gioco è finito. Possono inviare le informazioni dai browser degli utenti finali a quasi ogni luogo su Internet.

Attacco Magecart Card

Lo stato attuale

Come abbiamo già detto, l’attacco Magecart è distribuito principalmente tramite codice JavaScript dannoso iniettato in plugin scaricabili o add-on per negozi online Magento. Ultimamente, gli aggressori hanno iniziato a usare i banner pubblicitari per distribuire gli skimmer.

Nel 2019 durante un attacco lampo, i criminali informatici hanno violato quasi 1000 siti di e-commerce in sole 24 ore, dimostrando che non hanno agito manualmente, ma hanno invece utilizzato strumenti automatici. La maggior parte delle risorse colpite erano piccoli e-shop, anche se tra questi ci sono anche diverse grandi imprese.

Lo script di skimming è stato utilizzato per rubare informazioni dai visitatori dei negozi online, in particolare, i dati delle loro carte bancarie, nomi, numeri di telefono e indirizzi. Poi lo script registra tutti i dati inseriti nelle pagine di pagamento e li memorizza nel browser fino a quando la vittima aggiorna la pagina o passa a un’altra scheda. I dati rubati vengono poi inviati a un server controllato dai criminali informatici.

Come affrontare la situazione

Il problema con Magecart è che c’è molta confusione quando si tratta di proteggere effettivamente questi attacchi di skimming di carte basati sul web. Per esempio, l’auditing di un sito web su base regolare non può fermare gli attacchi, poiché il problema proviene da tag di terze parti, che l’auditing non rileverà.

Il consiglio per i team IT è di adottare un approccio zero-trust con JavaScript sui loro siti, iniziando con una politica per bloccare l’accesso di default a qualsiasi informazione sensibile inserita nei moduli web e nei cookie memorizzati. Da lì, si permette solo a un insieme selezionato di script controllati (di solito solo i propri) di accedere ai dati sensibili. E come risultato, se questo tipo di codice di skimming entra nel sito, semplicemente non può accedere a nessuna delle informazioni sensibili.

Sfortunatamente i browser web non forniscono questo tipo di funzionalità, quindi i team IT devono implementare i propri approcci di protezione o portare tecnologia da fornitori esterni specializzati nella protezione contro questo tipo di attacchi.

Attacco Magecart Hacker

Come proteggersi attivamente

Per proteggere la tua azienda dagli attacchi Magecart, fai un inventario completo delle tue risorse digitali utilizzando il nostro servizio di CTI. Successivamente, trova tutte le possibili applicazioni web e mobili, imposta un punteggio di sicurezza per ciascuna di esse e mostra quali app sono da correggere e mettere al sicuro. Il servizio, inoltre, può cercare nel Dark Web, negli archivi cloud e nei repository di codice tutte le possibili fughe di dati.

L’approccio adottato è proattivo e si basa sulla ricerca di compromissioni prima che queste si siano manifestate. Questo approccio, che gestisce in modo attivo la superficie di attacco e scandaglia il dark web, permette di ottenere una visione completa dello stato di sicurezza del sistema digitale.

Dopo un inventario completo si può procedere con un Penetration Test per verificare la situazione e proteggere la vostra azienda da qualsiasi minaccia alla sicurezza. L’attaco Magecart, così come altri metodi di attacco più moderni che i criminali informatici inventano costantemente, possono essere contrastati solo con questo tipo di approccio proattivo, mantenendo alta la guardia.

Per qualunque domanda o per sapere come i nostri servizi possono mettere al sicuro il tuo business, non esitare a contattarci.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20240220-0 :: Multiple Stored Cross-Site Scripting Vulnerabilities in OpenOLAT (Frentix GmbH) Febbraio 21, 2024
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Feb 20SEC Consult Vulnerability Lab Security Advisory < 20240220-0 > ======================================================================= title: Multiple Stored Cross-Site Scripting Vulnerabilities product: OpenOLAT (Frentix GmbH) vulnerable version:
  • Re: Buffer Overflow in graphviz via via a crafted config6a file Febbraio 21, 2024
    Posted by Matthew Fernandez on Feb 20The fix for this ended up landing in Graphviz 10.0.1, available at https://graphviz.org/download/. Details of this CVE (CVE-2023-46045) are now published, but the CPEs are incomplete. For those who track such things, the affected range is [2.36.0, 10.0.1).
  • CVE-2024-24681: Insecure AES key in Yealink Configuration Encrypt Tool Febbraio 21, 2024
    Posted by Jeroen J.A.W. Hermans via Fulldisclosure on Feb 20CloudAware Security Advisory CVE-2024-24681: Insecure AES key in Yealink Configuration Encrypt Tool ======================================================================== Summary ======================================================================== A single, vendorwide, hardcoded AES key in the configuration tool used to encrypt provisioning documents was leaked leading to a compromise of confidentiality of provisioning documents....
  • Microsoft Windows Defender / Backdoor:JS/Relvelshe.A / Detection Mitigation Bypass Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/Windows_Defender_Backdoor_JS.Relvelshe.A_Detection_Mitigation_Bypass.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Detection Mitigation Bypass Backdoor:JS/Relvelshe.A [CVE Reference] N/A [Security Issue] Back in 2022 I released a...
  • Microsoft Windows Defender / VBScript Detection Bypass Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/MICROSOFT_WINDOWS_DEFENDER_VBSCRIPT_TROJAN_MITIGATION_BYPASS.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Windows Defender VBScript Detection Mitigation Bypass TrojanWin32Powessere.G [CVE Reference] N/A [Security Issue]...
  • Microsoft Windows Defender / Trojan.Win32/Powessere.G / Detection Mitigation Bypass Part 3 Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/MICROSOFT_WINDOWS_DEFENDER_TROJAN.WIN32.POWESSERE.G_MITIGATION_BYPASS_PART_3.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Windows Defender Detection Mitigation Bypass TrojanWin32Powessere.G [CVE Reference] N/A [Security Issue]...
  • 44CON 2024 September 18th - 20th CFP Febbraio 15, 2024
    Posted by Florent Daigniere via Fulldisclosure on Feb 1544CON is the UK&apos;s largest combined annual Security Conference and Training event. Taking place 18,19,20 of September at the Novotel London West near Hammersmith, London. We will have a fully dedicated conference facility, including catering, private bar, amazing coffee and a daily Gin O’Clock break.         _  […]
  • SEC Consult SA-20240212-0 :: Multiple Stored Cross-Site Scripting vulnerabilities in Statamic CMS Febbraio 14, 2024
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Feb 13SEC Consult Vulnerability Lab Security Advisory < 20240212-0 > ======================================================================= title: Multiple Stored Cross-Site Scripting vulnerabilities product: Statamic CMS vulnerable version: =3.4.17 CVE number: CVE-2024-24570 impact: high homepage: https://statamic.com/...
  • Stored XSS and RCE - adaptcmsv3.0.3 Febbraio 14, 2024
    Posted by Andrey Stoykov on Feb 13# Exploit Title: Stored XSS and RCE - adaptcmsv3.0.3 # Date: 02/2024 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Ubuntu 22.04 # Blog: http://msecureltd.blogspot.com *Description* - It was found that adaptcms v3.0.3 was vulnerable to stored cross site scripting - Also the application allowed the […]
  • OXAS-ADV-2023-0007: OX App Suite Security Advisory Febbraio 14, 2024
    Posted by Martin Heiland via Fulldisclosure on Feb 13Dear subscribers, We&apos;re sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX App Suite, Dovecot and PowerDNS at YesWeHack. This advisory has also been published at https://documentation.open-xchange.com/appsuite/security/advisories/html/2023/oxas-adv-2023-0007.html. […]

Customers

Newsletter

{subscription_form_2}