Mongolian Skimmer: una nuova minaccia per l’e-commerce

Mongolian Skimmer è una recente campagna di skimming, scoperta dai ricercatori di Jscrambler, che utilizza tecniche di offuscamento Unicode per nascondere il codice JavaScript dannoso. Questo rende difficile la rilevazione e la rimozione del malware, mettendo a rischio i dati sensibili degli utenti durante le transazioni online.

Fonte Jscrambler

Tecniche di offuscamento

Il codice dannoso del Mongolian Skimmer sfrutta caratteri Unicode insoliti per i nomi di variabili e funzioni, ovvero si serve della capacità JavaScript di utilizzare qualsiasi carattere Unicode negli identificatori. Questo tipo di offuscamento complica la revisione manuale del codice, poiché i caratteri utilizzati non sono facilmente riconoscibili. La società ha anche affermato di aver osservato una variante del loader che carica lo script skimmer solo nei casi in cui vengono rilevati le interazioni dell’utente quali scorrimento, movimenti del mouse e l’evento touchstart.

Fonte Jscrambler

Impatto sull’e-commerce

Il principale obiettivo del Mongolian Skimmer sono le pagine di checkout degli e-commerce. Lo skimmer, che in genere si manifesta sotto forma di uno script su siti compromessi recupera il payload effettivo da un server esterno. Una volta in esecuzione il codice malware intercetta le informazioni sensibili degli utenti, come numeri di carte di credito e dati personali, inviandole ai server controllati dagli attaccanti.

Lo skimmer controlla l’URL della pagina per parole chiave come “checkout” o “admin” per identificare le pagine che gestiscono dati sensibili.” hanno affermato Pedro Marrucho e David Alves di Jscrambler, “Una volta identificate, codifica i dati usando window.btoa() per la codifica base64 e li invia a un server remoto tramite un pixel di tracciamento (costruito con new Image()), una classica tecnica di skimming.

Per raggiungere un vasto bacino di utenti lo skimmer utilizzerebbe anche tecniche per garantire la compatibilità tra diversi browser.

Prevenzione

Il Mongolian Skimmer rappresenta una minaccia significativa per l’e-commerce, evidenziando l’importanza di una sicurezza robusta e di strumenti di rilevamento avanzati. La collaborazione tra esperti di sicurezza e sviluppatori è essenziale per proteggere i dati degli utenti e prevenire attacchi futuri.

Gli esperti di sicurezza suggeriscono per proteggere le pagine di checkout l’implementazione di strumenti di rilevamento automatizzati e l’adozione di pratiche di sicurezza avanzate.

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.