L'ANALISI TECNICA

Scoperta una nuova campagna di Web skimming altamente evasiva: è allarme truffe online

È in corso una nuova campagna di Web skimming per raccogliere in maniera fraudolenta le informazioni di pagamento degli utenti durante le fasi di checkout sugli store online. Ecco tutti i dettagli e i consigli per mitigare i rischi di un attacco di questo tipo

26 Mag 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I ricercatori di sicurezza Microsoft hanno recentemente osservato diverse campagne di Web skimming che utilizzano più tecniche di offuscamento per eludere il rilevamento degli script di controllo.

Che cos’è il Web skimming

Con il termine web skimming ci si riferisce alla pratica fraudolenta di raccogliere informazioni di pagamento dei visitatori di un sito Web durante le fasi di checkout.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation

I truffatori, sfruttando le vulnerabilità nelle piattaforme di e-commerce, nei CMS e talvolta in plugin e temi di terze parti, riescono a iniettare script di skimming nelle pagine degli store online.

Il web skimming, in genere, si rivolge a piattaforme come Magento, PrestaShop e WordPress, tipicamente utilizzati dai negozi online per la loro facilità d’uso e portabilità. Famoso al riguardo Magecart, il collettivo criminale che ha catturato l’attenzione dei media nel corso degli anni per l’imponente impiego di queste tecniche furtive compromettendo migliaia di siti Web.

Web skimming, PHP incorporati in file immagine

In una delle campagne osservate, dai ricercatori Microsoft, gli attori della minaccia starebbero impiegano script PHP incorporati in file immagine e contenenti JavaScript codificati in Base64.

Scopo ultimo eseguire in tal modo il codice malevolo durante il caricamento della pagina index.php del sito Web.

In particolare si tratterebbe di due istanze di file immagine caricate su un server ospitato da Magento rispettivamente una favicon e una tipica immagine web.

Questo metodo di consegna si discosterebbe dal solito modus operandi. Infatti prendendo di mira il lato server per iniettare gli script, ciò consentirebbe di aggirare le protezioni di tipo CSP (Content Security Policy) che solitamente impediscono il caricamento di script esterni.

“L’inserimento dello script PHP in un file immagine è interessante perché, di default, il web server non eseguirebbe il suddetto codice. Sulla base di precedenti attacchi simili, riteniamo che l’autore dell’attacco abbia utilizzato un’espressione include PHP per includere l’immagine (che contiene il codice PHP) nella pagina indice del sito Web, in modo che venga caricata automaticamente a ogni visita alla pagina”, si legge sul rapporto Microsoft.

Gli script PHP incorporati nelle immagini, pur differendo leggermente nella loro implementazione, conterrebbero comunque un codice JavaScript identico.

In entrambi i casi delle immagini, lo script PHP incorporato eseguito si occuperebbe di:

  • recuperare l’URL della pagina corrente;
  • cercare le parole chiave “checkout” e “onepage” mappate alla pagina di pagamento di Magento.

Schermata parziale di una pagina web del carrello Magento.
  • verificare preventivamente la presenza di cookie amministrativi per agire solo su effettivi visitatori in qualità di potenziali acquirenti online;

Screenshot parziale di un frammento di codice PHP.
  • creare e pubblicare un modulo di pagamento di checkout falso per la raccolta dei dettagli di pagamento degli utenti target;

Screenshot parziale del modulo di pagamento falso.
  • raccogliere i dettagli del modulo, codificarli in HEX e Base64 e aggiungerli ai file cookie;

Screenshot parziale di uno script di scrematura web.
  • infine, esfiltrare le informazioni codificate verso un server C2 presidiato, tramite richieste PHP curl.

Screenshot parziale di uno script di scrematura web.

Web skimming, spoofing di Google Analytics e Meta Pixel

Gli esperti avrebbero anche osservato applicazioni Web compromesse tramite JavaScript malevoli anche mascherati da script di Google Analytics e Meta Pixel (ex Facebook Pixel) per evitare il rilevamento.

Nel caso di specie per lo spoofing di Google Analytics sarebbe stato trovato del codice di Google Tag Manager contraffatto con iniettata un una stringa con codifica Base64.

panoramica degli attacchi di scrematura web 2

Per lo spoofing di Meta Pixel invece sarebbero stati registrati domini ad hoc e utilizzati certificati TLS (HTTPS):

  • otech[.]fun – creato il 30 agosto 2021
  • techlok[.]bar – creato il 3 settembre 2021
  • dratserv[.]bar – creato il 15 settembre 2021

Lo script ospitato in questi domini, sulla base di ciò che i ricercatori sarebbero stati in grado di deoffuscare, riuscirebbe a eseguire oltre lo skimming dei dati, una tecnica anti-debugging e carpire password.

Possibili soluzioni di mitigazione

È ormai un dato di fatto che i criminali informatici provino sempre nuovi modi per mettere a segno le proprie azioni illecite, in una continua lotta contro chi invece lavora per scoprire le strategie di attacco e fornire nuovi strumenti di difesa. Pertanto, per mitigare i rischi legati alle conseguenze di un attacco di tipo web skimming (eventualità da non sottovalutare) è consigliabile che in ambito privato e aziendale si tengano sempre aggiornati sistemi antivirus, firewall, sistemi operativi e browser adottando, opzionalmente, un adblocker per il controllo online dell’esecuzione di banner, script e popup.

Dall’altra parte, per chi eroga servizi e accetta pagamenti online il Team di Microsoft 365 Defender raccomanda di:

  1. garantire l’aggiornamento delle proprie piattaforme di commercio elettronico, CMS e plug-in installati con le ultime patch di sicurezza;
  2. usufruire solo di servizi di terze parti erogati da fonti attendibili;
  3. eseguire un controllo regolare e approfondito delle proprie risorse Web per rilevare eventuali contenuti compromessi o sospetti.

Al momento si apprende che alcuni dei campioni di file HTML e JavaScript rilevati dal Team Microsoft avrebbero tassi di rilevamento molto bassi su VirusTotal.

WHITEPAPER
SPEECH ANALYTICS, SENTIMENT ANALYSIS e AI per aumentare l’efficacia del Contact Center
Cloud
Intelligenza Artificiale
@RIPRODUZIONE RISERVATA

Articolo 1 di 5