E-commerce, centinaia di siti intrappolati con il malware

Recentemente è stato scoperto che circa 500 siti di e-commerce sono stati compromessi da hacker che hanno installato uno ‘skimmer’ per carte di credito che ha rubato di nascosto dati sensibili quando i visitatori hanno tentato di effettuare un acquisto. È quanto riporta il sito arstechnica.com.

LEGGI ANCHE –> E commerce, che effetti ha avuto la pandemia e in quale direzione vanno gli italiani?

Un rapporto pubblicato lo scorso 8 febbraio è solo l’ultimo che coinvolge Magecart, un termine generico dato ai gruppi criminali in competizione che infettano i siti di e-commerce con ‘skimmer’. Negli ultimi anni, migliaia di siti sono stati colpiti da exploit che li hanno indotti a eseguire codice dannoso. Quando i visitatori inseriscono i dettagli della carta di pagamento durante l’acquisto, il codice invia tali informazioni ai server controllati dagli aggressori. Sansec, la società di sicurezza che ha scoperto l’ultimo lotto di infezioni, ha affermato che tutti i siti compromessi stavano caricando script dannosi ospitati nel dominio naturalfreshmall.com. “Lo skimmer Natural Fresh mostra un popup di pagamento falso, vanificando la sicurezza di un modulo di pagamento ospitato (conforme a PCI)”, hanno scritto i ricercatori dell’azienda su Twitter. Gli hacker hanno quindi modificato i file esistenti o impiantati nuovi file che fornivano non meno di 19 backdoor che gli hacker potevano utilizzare per mantenere il controllo sui siti nel caso in cui lo script dannoso fosse stato rilevato e rimosso e il software vulnerabile fosse stato aggiornato. L’unico modo per disinfettare completamente il sito è identificare e rimuovere le backdoor prima di aggiornare il CMS vulnerabile che ha consentito in primo luogo l’hacking del sito.

Sansec ha collaborato con gli amministratori dei siti compromessi per determinare il punto di ingresso comune utilizzato dagli aggressori. I ricercatori alla fine hanno stabilito che gli aggressori hanno combinato un exploit SQL injection con un attacco PHP Object injection in un plug-in Magento noto come Quickview. Gli exploit hanno consentito agli aggressori di eseguire codice dannoso direttamente sul server web. Hanno eseguito questa esecuzione di codice abusando di Quickview per aggiungere una regola di convalida alla tabella customer_eav_attribute e iniettando un payload che ha indotto l’applicazione host a creare un oggetto dannoso. Quindi, si sono registrati come nuovi utenti sul sito. “Tuttavia, la semplice aggiunta al database non eseguirà il codice”, hanno spiegato i ricercatori di Sansec. “Magento ha effettivamente bisogno di deserializzare i dati. E c’è l’astuzia di questo attacco: utilizzando le regole di validazione per i nuovi clienti, l’attaccante può innescare un annullamento della serializzazione semplicemente navigando nella pagina di registrazione di Magento”.

Non è difficile trovare siti che rimangono infettati più di una settimana dopo che Sansec ha segnalato per la prima volta la campagna su Twitter. I siti compromessi eseguivano Magento 1, una versione della piattaforma di e-commerce che è stata ritirata a giugno 2020. La scommessa più sicura per qualsiasi sito che utilizza ancora questo pacchetto deprecato è aggiornare all’ultima versione di Adobe Commerce. Un’altra opzione è installare le patch open source disponibili per Magento 1 utilizzando il software fai-da-te del progetto OpenMage o con il supporto commerciale di Mage-One. In genere è difficile per le persone rilevare gli skimmer di carte di pagamento senza una formazione speciale. Un’opzione è utilizzare un software antivirus come Malwarebytes, che esamina in tempo reale il JavaScript servito su un sito Web visitato. Le persone potrebbero anche voler evitare i siti che sembrano utilizzare software obsoleti, anche se non è certo una garanzia che il sito sia sicuro.

[CREDIT PHOTO: ITALY PHOTO PRESS]