SecurityOpenLab

Skimmer Magecart ora si nascondono nei metadati EXIF

I metadati di un'immagine sono il nascondiglio perfetto per gli skimmer Magecart di ultima generazione. Tutta colpa di un plugin e-commerce di WordPress.

Gli skimmer Magecart compiono un altro gradino evolutivo: ora il codice dannoso si nasconde nei metadati dei file di immagine caricati dai siti di e-commerce. A scoprire il trucco sono stati i ricercatori di Malwarebytes, che addebitano la paternità della nuova tecnica a Magecart Group 9.

Il trucco è piuttosto semplice nella sua perversità: per eludere i controlli di sicurezza, il codice JavaScript dello skimmer è sepolto all'interno dei metadati EXIF di un file di immagine caricata sui negozi online compromessi. Come sono entrati in possesso di tali immagini? Tramite un plug-in di e-commerce di WordPress.
skimmer magecart 2La combinazione di queste tecniche già note rende l'attacco particolarmente efficace. I ricercatori che sono incappati nel file immagine hanno dapprima pensato alla vecchia tecnica dei favicon, le piccolissime icone sulla tab del browser che identificano l'azienda a cui fa capo il sito aperto. 

Un tempo era in questo "pezzetto" di codice che i criminali informatici nascondevano gli skimmer. Invece Magecart Group 9 è andato oltre, ideando la variante EXIF. Altro tratto caratterizzante di questo nuovo assetto di attacco è che i dati delle carte di credito non vengono più inviati direttamente al server remoto di comando e controllo (C2). Vengono invece spediti all'esterno del sito vittima come file di immagine, tramite richieste POST.

La combinazione ideale per bypassare qualsiasi controllo e farla franca. Almeno finché il trucco non è stato scoperto. 
3skimmer magecart 2È da sottolineare che ci sono comunque dei punti in comune con le tecniche precedenti. Il primo è che in passato sono stati usati più volte i plugin di e-commerce di WordPress. Nel 2020 sono già stati collegati a molti problemi di sicurezza. 

Un altro elemento comune è che le vittime sono quasi sempre siti medio-piccoli. Difficilmente gli attacchi di questo tipo intaccano i big dell'ecommerce. Anche se ci sono eccezioni di alto profilo come quelle che hanno interessato Ticketmaster e British Airways.

Terzo, questa evoluzione è probabilmente stata favorita dall'emergenza sanitaria e dall'impennata del commercio elettronico che ha caratterizzato il 2020. Il volume d'affari ha ampliato la superficie d'attacco e attirato l'attenzione della criminalità online. Al contempo ha spinto molte attività che vendevano solo al dettaglio ad attivare canali online per non fermare il business. L'uso dei plungin di WordPress e la mancanza di esperienza hanno favorito le truffe. 

Non ultimo, tutti gli skimmer Magecart sono strutturati per operare il più a lungo possibile senza rilevamento. È quindi possibile che siano attive in rete altre insidie di questo tipo, ma non sono ancora state scoperte.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 26/06/2020

Tag: cyber security skimmer ecommerce malwarebites


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore