Dati della carta raschiati malware di Magecart per 8 mesi dal sito Web di un rivenditore di abbigliamento outdoor britannico

All'inizio di quest'anno, 18 diversi utenti si sono lamentati con PayPal di transazioni fraudolente osservate sui loro conti bancari in un periodo di tempo relativamente breve e, dopo un'indagine, il responsabile del pagamento ha capito che avevano una cosa in comune: avevano fatto tutti acquisti a Páramo, un negozio online che vende abbigliamento e attrezzatura per l'outdoor. PayPal è responsabile dell'elaborazione dei pagamenti di Páramo, quindi, naturalmente, ha immediatamente notificato al venditore. Un'indagine rivelò presto che Páramo era stato colpito da ciò che The Register descriveva come Magecart.

Páramo subisce un attacco con lo skimmer elettronico

Il termine "Magecart" è apparso qualche anno fa quando i criminali informatici hanno sviluppato un malware in grado di raccogliere dati sulle carte di credito durante il processo di pagamento nei negozi online. La parte "Mage" del nome è stata inserita perché Magecart è stata progettata per attaccare i siti Web creati con la piattaforma open source Magento, ma ora è diventata associata praticamente a tutte le operazioni di skimming online. Nel corso degli anni, gli attacchi Magecart sono stati lanciati da una varietà di diverse bande criminali informatiche contro obiettivi di ogni forma e dimensione. Páramo è l'ultimo di una lunga serie di vittime di Magecart e quando scoprirai come ha funzionato l'attacco in questo caso particolare, capirai perché gli hacker adorano così tanto questa razza di malware.

Il vettore di infezione iniziale rimane sconosciuto per ora. I ricercatori della sicurezza hanno recentemente notato una tendenza verso l'installazione di e-skimmer sui siti Web basati su Magento che utilizzano un plug-in senza patch, ma non è chiaro se questa stessa tecnica sia stata utilizzata nel caso di Páramo. Gli hacker sono riusciti a ottenere un accesso abbastanza profondo da caricare un file JS e quindi modificare una delle pagine PHP del sito Web. Di conseguenza, durante la procedura di pagamento, Páramo apparentemente funzionerebbe come previsto. I pagamenti verrebbero elaborati da PayPal e gli ordini verrebbero registrati come al solito. In background, tuttavia, il file JS dannoso eliminerebbe i dati della carta di credito dei clienti e li inoltrerebbe ai criminali informatici. Tutto, dal nome del titolare della carta al codice CVV sul retro della carta, è interessato e non c'è da meravigliarsi che i 18 utenti abbiano notato attività insolite attorno ai loro conti bancari.

Il malware è rimasto inosservato per ben 8 mesi

Páramo ha dichiarato a The Register che gli attori di Magecart sono riusciti a rubare i dettagli di 3.743 carte, che, considerando le dimensioni di alcune delle altre violazioni a cui assistiamo ogni giorno, non sembrano essere così tante. Il malware è rimasto inosservato sul sito Web per un bel po ', tuttavia, il che dimostra quanto possa essere pericoloso.

Páramo ha individuato e rimosso il malware Magecart a marzo, ma quando i suoi specialisti IT di sicurezza hanno controllato i registri, si sono resi conto che era stato installato per la prima volta nel luglio 2019. Anche le scansioni trimestrali di sicurezza Páramo pagano per non aver rilevato il malware e sul nei prossimi otto mesi, nessuno sospettava nulla.

Magecart si preannuncia come una delle maggiori minacce per i negozi online. Ha già svolto il ruolo principale in parecchi incidenti importanti e le operazioni criminali informatiche basate su di esso hanno abbastanza successo. Sebbene abbiano il compito di gestire le informazioni finanziarie degli utenti, molti amministratori dei negozi online non prestano sufficiente attenzione alla sicurezza e gestiscono i loro siti Web su tecnologie vecchie e senza patch, il che rende il lavoro dei criminali ancora più semplice. Se sei responsabile della sicurezza di un sito Web di e-commerce, assicurati che Magecart occupi un posto centrale nel tuo modello di minaccia. Se, d'altra parte, sei un avido acquirente online, potresti fare di peggio che controllare regolarmente il tuo saldo bancario e segnalare tempestivamente eventuali transazioni sospette.