Magecart, una nuova campagna sfrutta i modal forms

Una campagna Magecart ha attirato l’attenzione dei ricercatori di MalwareHunterTeam. L’aspetto molto verosimile delle schermate di pagamento false presenti su siti di e-commerce compromessi, riuscirebbe a ingannare gli ignari utenti acquisendo illecitamente i dati sensibili inseriti durante le fasi di acquisto.

Il collettivo Magecart

Con il termine Magecart, lo ricordiamo, ci si riferisce a diversi gruppi di criminalità informatica che utilizzano tecniche di skimming digitale per rubare informazioni di pagamento sui siti Web di e-commerce. Queste tecniche sfruttano solitamente codice javascript per sottrarre le informazioni dalle pagine di checkout.

Il flusso di pagamento alterato

Nella fattispecie i ricercatori avrebbero scoperto in un negozio online per accessori da viaggio in esecuzione su piattaforma CMS PrestaShop, l’iniezione di uno skimmer chiamato Kritec per intercettare il processo di pagamento e mostrare alle vittime una finta finestra di dialogo.

Flusso di pagamento con skimmer attivo

Lo skimmer prevederebbe tramite un iframe la visualizzazione di un “modal” ovvero un elemento Web legittimo ma che in questo caso è completamente falso ed usato per dirottare perfettamente la pagina di pagamento, appena dopo aver selezionato una carta di credito come opzione di pagamento dal sito Web compromesso.

Iframe che visualizza il form modal

Il “modal” altro non è che un form che si visualizza davanti alla pagina attiva corrente, disabilitando e oscurando lo sfondo in modo da focalizzare l’elemento presentato.

Una volta raccolti i dettagli della carta di credito, alla vittima verrebbe mostrato un falso messaggio di errore sull’annullamento della transazione prima di essere reindirizzata alla pagina di pagamento effettiva. Inoltre “Lo skimmer rilascerà un cookie che servirà come indicazione che la sessione corrente è ora contrassegnata come completata“, spiega Jérôme Segura director of threat intelligence at Malwarebytes. “Se l’utente dovesse tornare indietro e tentare di nuovo il pagamento, il modal dannoso non verrebbe più visualizzato.

Presi di mira diversi negozi online

Gli attori delle minacce dietro l’operazione starebbero utilizzando domini diversi per ospitare lo skimmer, con nomi simili del tipo “[nome del negozio]-loader.js”, ciò suggerirebbe che gli attacchi stiano prendendo di mira diversi negozi online con “modal” personalizzati.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.