Quasi 600 negozi online sono stati attaccati con successo dallo stesso gruppo di hacker

Dopo una lunga indagine, i ricercatori di Gemini Advisory hanno scoperto che un singolo gruppo di criminali informatici è responsabile degli attacchi riusciti contro non meno di 570 siti di e-commerce con sede in 55 paesi in tutto il mondo. L'equipaggio si chiama Keeper e i suoi attacchi consistono nel compromettere il bersaglio e iniettare codice dannoso che filtra i dettagli della carta di credito e altre informazioni personali durante il processo di pagamento.

È una classica operazione Magecart e si sta rivelando piuttosto efficace. Secondo i calcoli di Gemini, tra aprile 2017 e oggi, la banda di Keeper ha compromesso circa 700 mila carte di credito, che hanno un oscuro valore del mercato web di circa $ 7 milioni. Vediamo come gli esperti sono riusciti a trarre tutte queste conclusioni.

Un pannello di accesso ha rivelato l'intera infrastruttura di Keeper

I ricercatori di Gemini hanno scoperto la banda di Keeper quando hanno seguito l'URL di esfiltrazione usato durante un attacco Magecart. Sono stati accolti da un modulo di accesso che avevano visto prima. Un pannello di accesso identico era stato utilizzato in altri attacchi Magecart e i ricercatori sapevano che questo poteva essere significativo. Un'ulteriore indagine ha rivelato che tutti questi pannelli di accesso indicavano lo stesso server dedicato, il che confermava che tutti gli attacchi erano stati effettuati dallo stesso gruppo di hacker. Il nome "Keeper" deriva dal fatto che il dominio "fileskeeper [.] Org" è stato una parte importante dell'infrastruttura del gruppo.

Keeper - un formidabile gruppo Magecart

Dopo aver identificato tutti gli obiettivi precedenti, i ricercatori di Gemini si sono messi alla ricerca delle specificità del modus operandi di Keeper. Il gruppo si rivolge principalmente a piccoli negozi online meno popolari, sebbene l'elenco delle vittime contenga alcuni siti Web che hanno oltre 500 mila visitatori mensili. Circa l'85% dei siti Web attaccati è stato realizzato con Magento, il che non dovrebbe essere una sorpresa. Magento è una delle piattaforme più popolari per la creazione di siti Web di e-commerce e, come ha avvertito l'FBI di recente, molti dei negozi che vi operano sono pieni di vulnerabilità facilmente sfruttabili.

Dopo aver esaminato da vicino alcuni degli attacchi di Keeper, gli esperti di Gemini hanno visto alcune tecniche di offuscamento, il che ha suggerito agli hacker di sapere cosa stanno facendo. I ricercatori sono comunque riusciti a trovare un errore. Un registro di accesso è stato lasciato non protetto e, dopo aver dato un'occhiata al suo interno, gli esperti hanno scoperto i dettagli di 184 mila carte di credito compromesse tra luglio 2018 e aprile 2019. È così che hanno elaborato la stima dei profitti totali di Keeper.

Colpendo siti Web più piccoli, gli hacker di Keeper non stanno attirando troppa attenzione su se stessi e, allo stesso tempo, è ovvio che stanno facendo un grosso profitto sull'operazione. Devi accettare che hanno poche ragioni per smettere ora.