Una campagna Magecart ha attirato l’attenzione dei ricercatori di MalwareHunterTeam. L’aspetto molto verosimile delle schermate di pagamento false presenti su siti di e-commerce compromessi, riuscirebbe a ingannare gli ignari utenti acquisendo illecitamente i dati sensibili inseriti durante le fasi di acquisto.
Il collettivo Magecart
Con il termine Magecart, lo ricordiamo, ci si riferisce a diversi gruppi di criminalità informatica che utilizzano tecniche di skimming digitale per rubare informazioni di pagamento sui siti Web di e-commerce. Queste tecniche sfruttano solitamente codice javascript per sottrarre le informazioni dalle pagine di checkout.
Il flusso di pagamento alterato
Nella fattispecie i ricercatori avrebbero scoperto in un negozio online per accessori da viaggio in esecuzione su piattaforma CMS PrestaShop, l’iniezione di uno skimmer chiamato Kritec per intercettare il processo di pagamento e mostrare alle vittime una finta finestra di dialogo.
Lo skimmer prevederebbe tramite un iframe la visualizzazione di un “modal” ovvero un elemento Web legittimo ma che in questo caso è completamente falso ed usato per dirottare perfettamente la pagina di pagamento, appena dopo aver selezionato una carta di credito come opzione di pagamento dal sito Web compromesso.
Il “modal” altro non è che un form che si visualizza davanti alla pagina attiva corrente, disabilitando e oscurando lo sfondo in modo da focalizzare l’elemento presentato.
Una volta raccolti i dettagli della carta di credito, alla vittima verrebbe mostrato un falso messaggio di errore sull’annullamento della transazione prima di essere reindirizzata alla pagina di pagamento effettiva. Inoltre “Lo skimmer rilascerà un cookie che servirà come indicazione che la sessione corrente è ora contrassegnata come completata“, spiega Jérôme Segura director of threat intelligence at Malwarebytes. “Se l’utente dovesse tornare indietro e tentare di nuovo il pagamento, il modal dannoso non verrebbe più visualizzato.“
Presi di mira diversi negozi online
Gli attori delle minacce dietro l’operazione starebbero utilizzando domini diversi per ospitare lo skimmer, con nomi simili del tipo “[nome del negozio]-loader.js”, ciò suggerirebbe che gli attacchi stiano prendendo di mira diversi negozi online con “modal” personalizzati.
