Prima di procedere
Un'ondata di attacchi informatici sta prendendo di mira i negozi online che utilizzano la piattaforma di e-commerce Magento, mettendo a rischio i dati delle carte di credito di migliaia di utenti. Secondo una ricerca condotta dalla società di sicurezza informatica Sansec, quasi 100 siti web basati su Magento sono stati compromessi da una sofisticata campagna di furto di dati.
Gli hacker hanno implementato un metodo ingegnoso per sottrarre le informazioni finanziarie degli utenti: iniettano codice dannoso all'interno di un'immagine SVG invisibile, grande appena 1x1 pixel. Questo codice malevolo si attiva quando l'utente procede al pagamento dell'ordine, intercettando i dati sensibili inseriti nella pagina di checkout.
L'attacco sfrutta una vulnerabilità nota come PolyShell, scoperta a metà marzo, che interessa tutte le versioni stabili di Magento Open Source e Adobe Commerce della serie 2. Questa falla di sicurezza consente agli aggressori di eseguire codice arbitrario senza necessità di autenticazione, ottenendo il controllo degli account amministrativi dei negozi online.
Quando un utente si appresta a finalizzare l'acquisto su un sito compromesso, il codice malevolo intercetta il click sul pulsante di conferma dell'ordine e sovrappone una finta pagina di checkout, incredibilmente realistica, che richiede l'inserimento dei dati della carta di credito e delle informazioni personali. I dati inseriti in questa falsa schermata vengono quindi inviati ai criminali informatici in formato JSON, crittografati con XOR e ulteriormente camuffati con codifica base64.
Il codice dannoso viene iniettato direttamente nel codice HTML del sito web sotto forma di elemento SVG con un gestore di eventi onload. Secondo Sansec, questo gestore contiene l'intero payload dannoso, codificato in base64 all'interno di una chiamata atob() e attivato tramite setTimeout. Questo approccio consente agli aggressori di evitare il rilevamento da parte degli scanner di sicurezza, in quanto l'intero codice malevolo rimane integrato nella pagina e nascosto all'interno di un attributo stringa.
Sansec ritiene che i criminali informatici abbiano ottenuto l'accesso ai siti web sfruttando la vulnerabilità PolyShell, che consente l'esecuzione di codice senza autenticazione e il controllo degli account. In precedenza, l'azienda aveva avvertito che oltre la metà dei negozi vulnerabili erano stati attaccati utilizzando PolyShell. In alcuni casi, gli aggressori hanno implementato sistemi di intercettazione dei dati delle carte di pagamento e utilizzato WebRTC per trasmettere segretamente le informazioni rubate.
Sansec ha identificato sei domini utilizzati per raccogliere i dati rubati, tutti ospitati da IncogNet LLC (AS40663) nei Paesi Bassi. Ciascuno di questi domini riceve informazioni da 10 a 15 vittime confermate. Per proteggersi da questi attacchi, l'azienda raccomanda di verificare i file del sito web alla ricerca di elementi SVG nascosti con l'attributo onload che utilizza atob(), assicurarsi che non ci sia una chiave _mgx_cv nella memoria locale del browser, monitorare e bloccare le richieste a fb_metrics.php e a domini sconosciuti che si spacciano per servizi di analisi, e bloccare completamente il traffico verso l'indirizzo IP 23.137.249.67 e i domini ad esso associati.
Al momento della pubblicazione, Adobe non ha rilasciato un aggiornamento di sicurezza per correggere la vulnerabilità PolyShell nelle versioni di produzione di Magento. La correzione è disponibile solo nella versione preliminare 2.4.9-alpha3+. Sansec raccomanda ai proprietari e agli amministratori dei siti web di adottare tutte le misure di sicurezza disponibili e, se possibile, di passare all'ultima versione beta di Magento.
In sintesi, per proteggere il proprio negozio online da questa minaccia, è fondamentale:
- Verificare la presenza di codice SVG malevolo nei file del sito.
- Monitorare attentamente il traffico di rete e bloccare eventuali connessioni sospette.
- Aggiornare tempestivamente Magento all'ultima versione di sicurezza disponibile.
- Implementare un sistema di autenticazione a più fattori per proteggere gli account amministrativi.
- Educare i dipendenti sui rischi del phishing e degli attacchi informatici.
La sicurezza dei dati dei clienti è una priorità assoluta per qualsiasi attività di e-commerce. Adottare misure preventive e rimanere vigili è essenziale per proteggere il proprio business e la fiducia dei propri clienti.
