Con una JPEG nascosta negli store online ci rubano i dati della carta di credito: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Con una JPEG nascosta negli store online ci rubano i dati della carta di credito: i dettagli

È stata messa a punto una nuova tecnica di esfiltrazione dati delle carte di credito che vengono nascosti all’interno di un’immagine JPEG archiviata sul sito di e-commerce compromesso e che può essere poi prelevata dai cyber criminali in un secondo momento. Ecco come funziona

17 Mar 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I criminali informatici hanno escogitato un metodo subdolo per rubare i dati delle carte di credito dagli store online compromessi, eludendo i sistemi di controllo: in pratica, invece di inviare le informazioni delle carte a un server di presidio C2 remoto, queste vengono nascoste in un’immagine JPEG memorizzata sul sito Web stesso e prelevabile successivamente.

La scoperta della nuova tecnica di esfiltrazione dati è stata fatta dai ricercatori della società di sicurezza dei siti Web Sucuri durante alcune indagini sulla compromissione di un sito di e-commerce basato sulla versione 2 della piattaforma open source Magento.

Il nuovo metodo Magecart

Questo nuovo metodo di esfiltrazione dati da siti e-commerce rientra nella tipologia di attacchi noti come Magecart con i quali i criminali informatici riescono a compromettere un negozio online sfruttando una vulnerabilità della piattaforma in uso per rubare i dati delle carte di credito dei clienti durante le operazioni di pagamento.

WHITEPAPER
Iot Security e IIOT Security: un approccio olistico alla sicurezza nell'Industry 4.0
IoT
Sicurezza

Nella fattispecie, i ricercatori di Sucuri sono riusciti a scoprire il modus operandi della tecnica impiegata, trovando sul sito Web compromesso del codice PHP dannoso opportunamente inserito nel file Session.php presente nel path ./vendor/magento/module-customer/Model/ dello stesso portale.

L’analisi del codice ha permesso di fissare gli step principali dell’algoritmo implementato, secondo un iter logico che procede a:

  • chiamare una funzione getAuthenticates per caricare il resto del codice;
  • creare un file immagine in una directory dello spazio di dominio compromesso (pub / media / tmp / design / file / default_luma_logo.jpg);
  • carpire i dati inviati dai clienti via POST durante la procedura di pagamento;
  • memorizzare le informazioni rubate e codificate nascondendole all’interno del file immagine JPG creato.

Con questo escamotage gli attaccanti riescono, pertanto, a scaricare facilmente le informazioni come file JPG senza attivare alcun alert durante il processo, proprio perché il download di un’immagine non è un’azione riconosciuta come illecita.

Come avviene l’esfiltrazione dei dati

Gli attaccanti utilizzano lo stesso framework del CMS Magento impiegato dalle piattaforme target per acquisire con successo i dati tramessi via POST dal cliente.

In particolare, il codice PHP malevolo:

  • usa la funzione Magento getPostValue per acquisire i dati della pagina di pagamento contenuti nel parametro Customer_POST;
  • usa la funzione Magento isLoggedIn per controllare se la vittima che ha inviato i dati abbia effettuato l’accesso come utente e in tal caso ne acquisisce l’indirizzo e-mail;
  • codifica i dati carpiti in formato base64 e XOR prima di salvarli all’interno del file immagine creato.

Conclusioni

I ricercatori, nel raccomandare agli amministratori dei siti web, come azione di mitigazione del rischio, di implementare servizi di monitoraggio e controlli d’integrità, hanno mostrato un dump degli elementi record (Customer_parameter) che possono ogniqualvolta essere rubati e successivamente codificati nel file JPG, che include tra l’altro nomi, indirizzi, dettagli delle carte e numeri di telefono.

Tutte informazioni estremamente sensibili che potrebbero essere utilizzate non solo per frodi, ma anche per campagne spam e spear phishing.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4