Attacco Magecart Hacker Giacomo Lanzi

Attacco Magecart: cos’è e come proteggersi

Tempo di lettura stimato: 6 minuti

Ogni giorno sentiamo parlare di qualche nuova minaccia o vulnerabilità in ambito tecnologico. Ultimamente si parla dell’attacco di raccolta dati conosciuto come “Magecart”. Cerchiamo di capire di cosa si tratta e come possiamo fare per difenderci.

Magecart è un grande gruppo di hacker così come un tipico attacco che prende di mira principalmente i
carrelli della spesa dei negozi online.
Questo tipo di attacco è diventato molto comune negli ultimi anni.

Cos’è l’attacco Magecart?

Gli hacker di Magecart di solito prendono di mira i negozi online sviluppati con Magento CMS e mirano a rubare le informazioni della carta di credito dei clienti. Questo tipo di attacco è anche conosciuto come supply chain attack, web skimming o e-skimming. Il codice JavaScript iniettato nel sorgente durante l’attacco è solitamente chiamato anch’esso Magecart.

Gli esperti di cyber security hanno notato questa attività del gruppo criminale nel 2010, anche se Magecart è diventato molto noto di recente. Per oltre 10 anni di osservazione, l’attacco Magecart è stato rilevato circa 2 milioni di volte. Dal 2010, Magecart è responsabile dell’hacking di più di 18.000 host. Per guidare il codice maligno, i criminali hanno utilizzato 573 domini con circa 10.000 link di download con malware Magecart.

Oggi i ricercatori segnalano una nuova serie di attacchi Mageсart. I criminali hanno cambiato le tattiche e gli attacchi automatizzati. Ora sono alla ricerca di target settati male per infettare i siti web e i file JavaScript che possono raggiungere. Da aprile 2019, i criminali informatici hanno compromesso oltre 17.000 domini pubblicando codice JavaScript (chiamato anche “skimmer“) su questi siti web.

Secondo Computerweekly, durante le pandemie di COVID-19 gli attacchi Magecart ai rivenditori online sono aumentati del 20%.

Attacco Magecart Javascript

Come funziona l’attacco Magecart

Gli attacchi di data skimming come Magecart seguono tipicamente un modello ben stabilito. Devono ottenere tre cose per avere successo.

1. Accedere al sito

Ci sono tipicamente due modi in cui gli aggressori ottengono l’accesso al sito web e piazzano il codice di skimming. Possono introdursi nella tua infrastruttura o nel tuo server e mettere lì lo skimmer. Oppure, andranno da uno dei vostri fornitori di terze parti, specialmente se sono un bersaglio più facile, e infettano un tag di terze parti che eseguirà uno script dannoso sul vostro sito quando viene richiamato nel browser.

2. Raccogliere informazioni sensibili

Ci sono molti modi diversi in cui i gruppi possono catturare i dati, ma il codice di skimming è quasi sempre uno script JavaScript che ascolta le informazioni personali e le raccoglie. Si è visto un approccio in cui monitorano tutti i tasti premuti su una pagina sensibile o anche l’intercettazione dell’input in parti specifiche di un webform come i campi della carta di credito e del CVV. Generalmente, gli aggressori nascondono il codice dannoso all’interno di altro codice, che sembra benigno, per evitare il rilevamento.

3. Mandare i dati a un server

Questa è la parte più semplice dell’intero processo. Una volta che gli hacker hanno accesso al tuo sito web e raccolgono i dati che vogliono, il gioco è finito. Possono inviare le informazioni dai browser degli utenti finali a quasi ogni luogo su Internet.

Attacco Magecart Card

Lo stato attuale

Come abbiamo già detto, l’attacco Magecart è distribuito principalmente tramite codice JavaScript dannoso iniettato in plugin scaricabili o add-on per negozi online Magento. Ultimamente, gli aggressori hanno iniziato a usare i banner pubblicitari per distribuire gli skimmer.

Nel 2019 durante un attacco lampo, i criminali informatici hanno violato quasi 1000 siti di e-commerce in sole 24 ore, dimostrando che non hanno agito manualmente, ma hanno invece utilizzato strumenti automatici. La maggior parte delle risorse colpite erano piccoli e-shop, anche se tra questi ci sono anche diverse grandi imprese.

Lo script di skimming è stato utilizzato per rubare informazioni dai visitatori dei negozi online, in particolare, i dati delle loro carte bancarie, nomi, numeri di telefono e indirizzi. Poi lo script registra tutti i dati inseriti nelle pagine di pagamento e li memorizza nel browser fino a quando la vittima aggiorna la pagina o passa a un’altra scheda. I dati rubati vengono poi inviati a un server controllato dai criminali informatici.

Come affrontare la situazione

Il problema con Magecart è che c’è molta confusione quando si tratta di proteggere effettivamente questi attacchi di skimming di carte basati sul web. Per esempio, l’auditing di un sito web su base regolare non può fermare gli attacchi, poiché il problema proviene da tag di terze parti, che l’auditing non rileverà.

Il consiglio per i team IT è di adottare un approccio zero-trust con JavaScript sui loro siti, iniziando con una politica per bloccare l’accesso di default a qualsiasi informazione sensibile inserita nei moduli web e nei cookie memorizzati. Da lì, si permette solo a un insieme selezionato di script controllati (di solito solo i propri) di accedere ai dati sensibili. E come risultato, se questo tipo di codice di skimming entra nel sito, semplicemente non può accedere a nessuna delle informazioni sensibili.

Sfortunatamente i browser web non forniscono questo tipo di funzionalità, quindi i team IT devono implementare i propri approcci di protezione o portare tecnologia da fornitori esterni specializzati nella protezione contro questo tipo di attacchi.

Attacco Magecart Hacker

Come proteggersi attivamente

Per proteggere la tua azienda dagli attacchi Magecart, fai un inventario completo delle tue risorse digitali utilizzando il nostro servizio di CTI. Successivamente, trova tutte le possibili applicazioni web e mobili, imposta un punteggio di sicurezza per ciascuna di esse e mostra quali app sono da correggere e mettere al sicuro. Il servizio, inoltre, può cercare nel Dark Web, negli archivi cloud e nei repository di codice tutte le possibili fughe di dati.

L’approccio adottato è proattivo e si basa sulla ricerca di compromissioni prima che queste si siano manifestate. Questo approccio, che gestisce in modo attivo la superficie di attacco e scandaglia il dark web, permette di ottenere una visione completa dello stato di sicurezza del sistema digitale.

Dopo un inventario completo si può procedere con un Penetration Test per verificare la situazione e proteggere la vostra azienda da qualsiasi minaccia alla sicurezza. L’attaco Magecart, così come altri metodi di attacco più moderni che i criminali informatici inventano costantemente, possono essere contrastati solo con questo tipo di approccio proattivo, mantenendo alta la guardia.

Per qualunque domanda o per sapere come i nostri servizi possono mettere al sicuro il tuo business, non esitare a contattarci.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • HNS-2025-10 - HN Security Advisory - Local privilege escalation in Zyxel uOS Aprile 24, 2025
    Posted by Marco Ivaldi on Apr 23Hi, Please find attached a security advisory that describes some vulnerabilities we discovered in the Zyxel uOS Linux-based operating system. * Title: Local privilege escalation via Zyxel fermion-wrapper * Product: USG FLEX H Series * OS: Zyxel uOS V1.31 (and potentially earlier versions) * Author: Marco Ivaldi * Date: […]
  • APPLE-SA-04-16-2025-4 visionOS 2.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-4 visionOS 2.4.1 visionOS 2.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122402. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: Apple Vision Pro Impact: Processing an audio stream […]
  • APPLE-SA-04-16-2025-3 tvOS 18.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-3 tvOS 18.4.1 tvOS 18.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122401. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: Apple TV HD and Apple TV 4K (all […]
  • APPLE-SA-04-16-2025-2 macOS Sequoia 15.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-2 macOS Sequoia 15.4.1 macOS Sequoia 15.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122400. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: macOS Sequoia Impact: Processing an audio […]
  • APPLE-SA-04-16-2025-1 iOS 18.4.1 and iPadOS 18.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-1 iOS 18.4.1 and iPadOS 18.4.1 iOS 18.4.1 and iPadOS 18.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122282. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: iPhone XS […]
  • Business Logic Flaw: Price Manipulation - AlegroCartv1.2.9 Aprile 24, 2025
    Posted by Andrey Stoykov on Apr 23# Exploit Title: Business Logic Flaw: Price Manipulation - alegrocartv1.2.9 # Date: 04/2025 # Exploit Author: Andrey Stoykov # Version: 1.2.9 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Business Logic Flaw: Price Manipulation #1: Steps to Reproduce: 1. Visit the store and add a product 2. Intercept the […]
  • Stored XSS in "Message" Functionality - AlegroCartv1.2.9 Aprile 24, 2025
    Posted by Andrey Stoykov on Apr 23# Exploit Title: Stored XSS in "Message" Functionality - alegrocartv1.2.9 # Date: 04/2025 # Exploit Author: Andrey Stoykov # Version: 1.2.9 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS #1: Steps to Reproduce: 1. Login as demonstrator account and visit "Customers" > "Newsletter" 2. In "Message" use […]
  • XSS via SVG Image Upload - AlegroCartv1.2.9 Aprile 24, 2025
    Posted by Andrey Stoykov on Apr 23# Exploit Title: XSS via SVG Image Upload - alegrocartv1.2.9 # Date: 04/2025 # Exploit Author: Andrey Stoykov # Version: 1.2.9 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ XSS via SVG Image Upload: Steps to Reproduce: 1. Visit http://192.168.58.129/alegrocart/administrator/?controller=download 2. Upload SVG image file with the contents below […]
  • BBOT 2.1.0 - Local Privilege Escalation via Malicious Module Execution Aprile 24, 2025
    Posted by Housma mardini on Apr 23Hi Full Disclosure, I'd like to share a local privilege escalation technique involving BBOT (Bighuge BLS OSINT Tool) when misconfigured with sudo access. --- Exploit Title: BBOT 2.1.0 - Local Privilege Escalation via Malicious Module Execution Date: 2025-04-16 Exploit Author: Huseyin Mardinli Vendor Homepage: https://github.com/blacklanternsecurity/bbot Version: 2.1.0.4939rc (tested) Tested […]
  • 83 vulnerabilities in Vasion Print / PrinterLogic Aprile 13, 2025
    Posted by Pierre Kim on Apr 13No message preview for long message of 656780 bytes.

Customers

Newsletter

{subscription_form_2}