Le vacanze invernali sono dietro l'angolo, e così è il nuovo malware di scrematura. I criminali informatici hanno recentemente rilasciato campagne per la distribuzione del malware Grelos, una variante comune di Magecart.
Analizzato dai ricercatori di RiskIQ, questo ceppo comprende un rimaneggiamento del codice originale individuato per la prima volta 2015. Grelos è costituito da un caricatore e uno schiumatoio che utilizza l'offuscamento base64 che nasconde uno schiumatoio a due stadi.
Lo schiumatoio Grelos in dettaglio
Infatti, lo schiumatoio Grelos esiste da allora 2015, con la sua versione originale associata ai gruppi Magecart 1 e 2, sottolinea il rapporto. È interessante notare che alcuni attori delle minacce continuano a utilizzare alcuni dei domini originali distribuiti per caricare lo skimmer. Ma come ha fatto il team di ricerca a trovare questa ultima variante?
Il team si è imbattuto in un cookie unico che li collegava a una recente variante dello schiumatoio. Apparentemente, lo skimmer ha una versione più recente che utilizzava un modulo di pagamento falso per rubare i dati di pagamento. Sfortunatamente, dozzine di siti sono già stati compromessi.
“In molti recenti compromessi Magecart, abbiamo notato un aumento delle sovrapposizioni nell'infrastruttura utilizzata per ospitare diversi skimmer che sembrano essere implementati da gruppi non correlati che utilizzano varie tecniche e strutture di codice.” Dice RiskIQ.
L'infrastruttura sovrapposta include anche un provider di hosting utilizzato da alcuni domini di skimming. Questi domini caricano più, schiumatoi indipendenti, come lo schiumatoio Inter e varie versioni di Grelos. RiskIQ “ha persino visto domini che caricano lo skimmer Inter e lo skimmer Grelos dallo stesso indirizzo IP.” Il modello potrebbe significare che diversi gruppi di scrematura utilizzano la stessa infrastruttura per ospitare i domini di scrematura e acquistare servizi di hosting dallo stesso fornitore di terze parti.
Gli acquirenti online dovrebbero prestare la massima attenzione allo skimming del malware
I ricercatori di sicurezza avvertono di un aumento degli attacchi di scrematura mentre la stagione dello shopping natalizio si avvicina. Quest'anno lo shopping di regali online può essere ancora più pericoloso con l'attuale pandemia di Covid-19 e le persone bloccate a casa.
“La migliore difesa contro Magecart è tenere il passo con le loro tattiche e conoscere il codice eseguito dal tuo sito web, compreso il codice di terze parti. L'applicazione immediata di patch ai sistemi vulnerabili può prevenire danni ai clienti e, come abbiamo visto, una bella multa,” RiskIQ conclude.
Molti gruppi di hacking ispirati a Magecart in natura
Nel mese di luglio 2020, Gli hacker di Keeper Magecart sono entrati con successo nei backend dei negozi online per modificare il codice sorgente e inserire script dannosi. Gli script hanno rubato i dettagli della carta di pagamento presi dai moduli di pagamento. Più di 570 i negozi online sono stati hackerati negli ultimi tre anni.
Il gruppo di hacker di Keeper sta eseguendo lo skimming del web, e-skimming, e attacchi simili a Magecart. I ricercatori Gemini che hanno analizzato gli attacchi hanno chiamato il gruppo Keeper Magecart. Il nome Keeper deriva dall'uso ripetuto di un singolo dominio chiamato filekeeper[.]org, utilizzato per iniettare JavaScript dannoso per il furto di carte nei siti Web delle vittime’ Codice HTML e ricevi i dati delle carte raccolte.