Attacchi Magecart: ora la lotta è tra diversi gruppi di hacker

Nov 21, 2018 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS, Scenario 0

I cyber-criminali hanno cominciato una competizione a suon di “sabotaggi” nei confronti dei concorrenti. A rimetterci, come al solito, sono solo le vittime.

Gli attacchi tramite Magecart (lo script che consente di rubare i dati delle carte di credito sui siti e-commerce di cui abbiamo parlato in questo articolo) non accennano a diminuire e, secondo gli esperti di sicurezza, il fenomeno rischia di crescere ulteriormente nel prossimo futuro.

Gli analisti di diverse società di sicurezza hanno infatti identificato diversi gruppi di pirati informatici che usano gli stessi strumenti e che adesso hanno aperto le ostilità tra di loro, avviando azioni di “sabotaggio” nei confronti dei rivali.

Secondo Yonathan Klijnsma, un ricercatore di sicurezza di RiskIQ, Magecart è una sorta di “consorzio” in cui operano almeno 9 gruppi diversi di cyber-criminali che ora stanno cominciando a pestarsi i piedi a vicenda.

Come spiega il ricercatore olandese Willem De Groot in un post su Internet, la dimostrazione arriva dall’azione del “gruppo 9” che in uno dei suoi ultimi attacchi ha inserito una porzione di codice che ha la funzione specifica di bloccare l’attività dello script sviluppato dal “gruppo 3”.

De Groot ha individuato il codice su un sito di e-commerce di cosmetici. Lo script usato al gruppo 9, chiamato onlineclouds.cloud, integra un sistema che controlla se sono presenti altri due script simili (ma meno sofisticati) chiamati js-react.com e bootstrap-js.com.

Curiosamente, lo script non blocca la trasmissione dei dati al gruppo rivale, ma li modifica, cambiando l’ultima cifra del numero di carta di credito con un valore casuale. Il gruppo 9, insomma, sta “avvelenando” i dati rubati dal gruppo 3 rendendoli inutilizzabili.

Nel mezzo dello scontro, che probabilmente avrà un seguito, rimangono schiacciate le vittime, i cui estremi delle carte di credito finiscono comunque nelle mani dei pirati.

Nonostante lo script sia ben conosciuto e molti strumenti di sicurezza siano in grado di rilevarne la presenza, Magecart continua a essere diffusissimo e l’elenco delle vittime conta migliaia di siti Internet, anche di aziende di grandi dimensioni.

I pirati informatici, infatti, sono in grado di creare varianti dello script pesantemente offuscate, che riescono a passare inosservate anche per settimane e spesso finiscono su componenti aggiuntivi come widget e plugin.

Ogni gruppo, poi, utilizza tecniche diverse e prende di mira obiettivi con caratteristiche differenti. I gruppi 1 e 2, per esempio, usano normalmente degli strumenti che cercano automaticamente i siti Internet vulnerabili per installare lo script, mentre il gruppo 5 predilige colpire aziende di terze parti che forniscono widget e componenti ai siti.

Il gruppo 6, al quale viene attribuito l’attacco a British Airways e quello a Newegg, pianifica attentamente gli attacchi e prende di mira solo bersagli di alto profilo.

Condividi l'articolo