I ricercatori di cybersicurezza dell'Akamai Security Intelligence Group hanno portato alla luce un'astuta campagna di skimming di carte di credito chiamata Magecart, la quale sfrutta le pagine di errore 404 sui siti web dei rivenditori online.
La ricerca di Akamai indica che gli ideatori di Magecart hanno adottato tre metodi distinti per nascondere il loro codice nocivo. Il primo prevede l'incorporazione del codice dannoso all'interno dell'attributo "onerror" del tag HTML delle immagini. La seconda variante utilizza un'immagine binaria per imitare il frammento di codice Meta Pixel. Tuttavia, è la terza variante ad aver destato maggiore interesse, in quanto manipola la pagina di errore 404 dei siti web presi di mira, sfruttando un approccio unico per non essere trovata.
La campagna Magecart prende di mira prevalentemente siti web costruiti sulle piattaforme Magento e WooCommerce.
Ogni sito web ha pagine di errore 404 che vengono visualizzate quando gli utenti tentano di accedere a link inesistenti, spostati o rotti. In quest'ultima campagna, gli attori di Magecart sfruttano la pagina predefinita "404 Not Found" per caricare e nascondere il codice malevolo per rubare le carte di credito. Questa tecnica di occultamento è una novità nel mondo delle campagne Magecart ed è descritta da Akamai come "altamente innovativa".
Lo skimmer loader utilizza trucchi intelligenti per eludere il rilevamento. Si camuffa come uno snippet di codice Meta Pixel o si nasconde all'interno di script inline casuali già presenti nella pagina web di checkout compromessa. Il caricatore avvia una richiesta di fetch verso un percorso inesistente, con conseguente errore "404 Not Found".
Tuttavia, gli investigatori di Akamai hanno scoperto una corrispondenza regolare all'interno del caricatore che cerca una stringa specifica nell'HTML restituito della pagina 404. Una volta individuata la stringa, Akamai ha trovato una stringa concatenata con codifica base64 nascosta in un commento. La decodifica di questa stringa ha rivelato lo skimmer JavaScript, che è nascosto in tutte le pagine 404. Gli aggressori sono riusciti ad alterare la pagina di errore predefinita per l'intero sito web, camuffando il codice dannoso al suo interno.
Il codice skimmer mostra un modulo contraffatto ai visitatori del sito web, invitandoli a inserire informazioni sensibili, tra cui numeri di carte di credito, date di scadenza e codici di sicurezza. Una volta inserite, le vittime ricevono un falso messaggio di errore di "timeout della sessione". Nel frattempo, tutte le informazioni vengono codificate in base 64 e trasmesse all'aggressore tramite un URL di richiesta immagine. Agli strumenti di monitoraggio del traffico di rete, questa richiesta appare benigna, somigliando a un evento di acquisizione di immagini. Tuttavia, una volta decodificata la stringa base64, rivela i dati personali e della carta di credito rubati.
.jpg "Clicca per vedere l'immagine originale")
.jpg "Clicca per vedere l'immagine originale")
.jpg "Clicca per vedere l'immagine originale")
Questa campagna Magecart, con la sua manipolazione delle pagine 404, sottolinea la continua evoluzione delle tattiche e l'adattabilità di questi criminali informatici. Essi rendono sempre più difficile per i webmaster identificare il loro codice maligno sui siti web compromessi e ripulire efficacemente le loro piattaforme online da questa perniciosa minaccia.