Attacco in corso! rubate carte di credito da oltre un centinaio di siti per lo shopping

I ricercatori della società cinese di sicurezza informatica Qihoo 360’s NetLab hanno rivelato i dettagli di una campagna di hacking delle carte di credito in corso che sta attualmente rubando le informazioni sulle carte di pagamento dei clienti che visitano più di 105 siti web di e-commerce.

Durante il monitoraggio di un dominio dannoso, www.magento-analytics.com, da oltre sette mesi, i ricercatori hanno scoperto che gli aggressori hanno iniettato script JS maligni ospitati su questo dominio in centinaia di siti di shopping online.

Gli script JavaScript in questione includono il codice di skimming digitale della carta di credito che, quando viene eseguito su un sito, ruba automaticamente le informazioni sulla carta di pagamento, come il nome del titolare della carta di credito, il numero della carta di credito, il tempo di scadenza, le informazioni CVV, inserite dai suoi clienti.

In un’intervista via e-mail, il ricercatore di NetLab ha detto a The Hacker News che non hanno dati sufficienti per determinare come gli hacker hanno infettato i siti web interessati al primo posto o quali vulnerabilità hanno sfruttato, ma ha confermato che tutti i siti di shopping interessati sono in esecuzione su Magento e-commerce CMS software CMS.

Ulteriori analisi hanno rivelato che lo script maligno invia i dati delle carte di pagamento rubate ad un altro file ospitato sul server magento-analytics.com controllato dagli aggressori.

“Prendiamo come esempio una vittima, www.kings2.com, quando un utente carica la sua homepage, anche il JS funziona. Se un utente seleziona un prodotto e va al ‘Payment Information’ per inviare i dati della carta di credito, dopo che i dati del CVV sono stati inseriti, i dati della carta di credito saranno caricati”, spiegano i ricercatori in un post di un blog pubblicato oggi.

La tecnica utilizzata dal gruppo alla base di questa campagna non è nuova ed esattamente come quella utilizzata dai famigerati gruppi di hacking delle carte di credito MageCart in centinaia dei loro recenti attacchi, tra cui Ticketmaster, British Airways e Newegg.

Tuttavia, i ricercatori di NetLab non hanno esplicitamente collegato questo attacco a nessuno dei gruppi MageCart.

Inoltre, non confondersi con il nome di dominio – wwww.magento-analytics.com.

Avere Magento nel nome di dominio non significa che il dominio maligno sia comunque associato alla popolare piattaforma di Magento ecommerce CMS; gli aggressori hanno invece usato questa parola chiave per mascherare le loro attività e confondere gli utenti abituali.

Secondo i ricercatori, il dominio maligno utilizzato nella campagna è registrato a Panama, ma negli ultimi mesi l’indirizzo IP si è spostato da “Stati Uniti, Arizona” a “Russia, Mosca”, poi a “Cina, Hong Kong”.

Mentre i ricercatori hanno scoperto che il dominio maligno ha rubato informazioni sulle carte di credito per almeno cinque mesi con un totale di 105 siti web già infettati con il JS maligno, credono che questo numero potrebbe essere superiore a quello che è apparso sul loro radar.

Proprio ieri, un utente ha postato su un forum che anche il suo sito Magento è stato violato di recente e gli aggressori hanno segretamente iniettato uno script per rubare carte di credito dallo stesso dominio, apparentemente una variante separata che non è stata ancora elencata sul sito web 360 NetLab.

Poiché gli aggressori di solito sfruttano le vulnerabilità note nei software di e-commerce online per iniettare i loro script dannosi, si consiglia vivamente agli amministratori dei siti web di seguire le migliori pratiche di sicurezza, come l’applicazione degli ultimi aggiornamenti e delle patch, la limitazione dei privilegi per i sistemi critici e l’indurimento dei server web.

Agli amministratori di siti web si consiglia inoltre di sfruttare la Content Security Policy (CSP) che consente effettivamente di assumere un controllo rigoroso su quali risorse sono autorizzate a caricare sul tuo sito.

Nel frattempo, gli acquirenti online sono anche invitati a rivedere regolarmente i loro estratti conto bancari e della carta di credito per qualsiasi attività non familiare. Indipendentemente dalle piccole transazioni non autorizzate che notate, dovreste sempre e immediatamente segnalarle immediatamente alla vostra banca.