L'ANALISI TECNICA

L’e-skimmer invisibile che ruba dati delle certe di credito: dettagli e soluzioni di mitigazione

È stato identificato un nuovo gruppo criminale Magecart che sta distribuendo uno skimmer digitale in grado di rallentare l’analisi del codice malevolo e bypassare i controlli di sicurezza per rubare i dati delle carte di credito alle ignare vittime. Ecco i dettagli e come difendersi

09 Nov 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Sono state identificate le attività malevoli di un nuovo gruppo Magecart che sta distribuendo uno skimmer digitale in grado di eludere macchine virtuali e sandbox, passando quindi inosservato ai sistemi di sicurezza e garantendosi l’esecuzione esclusivamente su macchine reali.

Secondo i ricercatori di Malwarebytes labs, gli attori della minaccia Magecart starebbero utilizzando una tecnica che consente loro di rallentare l’analisi ed eludere i controlli di sicurezza semplicemente rilevando tramite browser le macchine virtuali che comunemente vengono utilizzate per le analisi dinamiche dei malware da parte dei ricercatori di sicurezza ed eventuali sandbox.

MageCart: cos’è, come funziona e come prevenire un attacco del famigerato gruppo hacker

La ricerca di valori specifici che indichino la presenza di software di virtualizzazione è una funzionalità anti-VM comune a molte classi di malware, ma il rilevamento di ambienti virtualizzati tramite browser in questi tipi di minacce web è raramente impiegato. In genere gli attaccanti si limitano a selezionare le vittime in base alla geolocalizzazione e alle stringhe user-agent.

Rilevamento anti-VM e esfiltrazione dati

Secondo il rapporto dei ricercatori, l’indagine sarebbe iniziata esaminando un dominio segnalato in cui del codice JavaScript sospetto veniva caricato insieme a un’immagine banner “website-payments-graphiscs-all-new-01.png” riportante i loghi di vari metodi di pagamento.

INFOGRAFICA
Le 7 opportunità imperdibili di un ERP di ultima generazione per il Settore Servizi
CRM
Digital Transformation

La funzione anti-VM, che consente di intercettare la presenza di potenziali ricercatori e sandbox e di agire solo su vittime reali, si troverebbe per l’appunto all’interno di tale script.

L’escamotage consisterebbe nell’utilizzare l’API JavaScript WebGL per raccogliere informazioni sulla macchina dell’utente e rilevare la presenza di una virtualizzazione ricercando precisi nomi identificativi per il renderer grafico.

In particolare, poiché le macchine virtuali, qualora non siano supportate direttamente dai software di virtualizzazione, possono utilizzare come driver della scheda grafica una GPU di fallback (per creare grafica con accelerazione GPU sfruttando l’implementazione WebGL del browser), lo skimmer controllerebbe la presenza dei termini chiave “SwiftShader” e “llvmpipe” (rendering di fallback rispettivamente utilizzato da Google Chrome e Firefox) o “virtualbox” per stabilire se il visitatore stia visualizzando la pagina web all’interno di una Virtual Machine.

Nei casi in cui le condizioni di controllo non vengano soddisfatte (ovvero lo script è eseguito in una macchina reale), il processo di estrazione dei dati si avvia regolarmente.

L’analisi mostra come tra le informazioni della vittima codificate ed esfiltrate allo stesso host (come server C2) tramite una singola richiesta POST figurerebbero nominativi, indirizzi e-mail, numeri di telefono, dati delle carte di credito, user-agent browser e codici utente univoci “Uid”.

Soluzioni di mitigazione

È consuetudine per i criminali informatici adottare sempre nuovi modi per i propri scopi illeciti, in una continua lotta contro chi invece lavora per scoprire le strategie di attacco e fornire nuovi mezzi di difesa.

Il controllo anti-VM anche se risulta una strategia insolita per la diffusione di skimmer digitali è comunque una tecnica già collaudata che va sempre contrastata con misure efficaci.

Pertanto, per mitigare, ulteriormente, i rischi legati al potenziale pericolo che un sito web possa veicolare del codice malevolo è consigliabile per gli utenti:

  • avere sistemi antivirus e firewall aggiornati per impedire l’esecuzione arbitraria di codice sospetto e accessi illegittimi;
  • provvedere periodicamente all’aggiornamento dei sistemi operativi e dei browser;
  • optare per un adblocker per il controllo su banner, script e pop-up;
  • nel caso di acquisti online, affidarsi sempre a store e circuiti di pagamento noti e sicuri.

@RIPRODUZIONE RISERVATA