Il gruppo di malware che gestisce Magecart sorprende ancora una volta gli esperti di sicurezza.
Un rapporto di questa settimana stilato da Roman Lvovsky, un ricercatore di sicurezza israeliano presso Akamai Technology, ha portato alla luce tre nuove tecniche di offuscamento adottate dai cybercriminali.
Magecart è un agente malevolo opera da anni infettando diversi siti di e-commerce, in particolare quelli che utilizzano Magento e WooCommerce. Lo stesso, ha fatto parlare di sé lo scorso mese di settembre, quando si è reso protagonista di una massiccia campagna negli Stati Uniti.
Il malware utilizza la fase di caricamento per inserire direttamente il proprio codice nelle pagine del server Web. Le fasi successive vengono utilizzate per rubare dati, come numeri di carte di credito e password dei clienti.
Una delle tecniche è nuova e non è mai stata vista prima, almeno secondo Lvovsky che ha affermato candidamente come “Ci ha davvero sorpreso“.
Il loader della prima fase è mascherato da una porzione di codice Meta Pixel, un sistema di tracking legittimo di Facebook e un servizio di tracciamento pubblicitario ampiamente utilizzato. Il pezzo di codice, per sua natura, elude facilmente agli strumenti di scansione malware.
Come Magecart sfrutta le pagine di errore 404 per infettare più computer possibili
Ciò che rende pericolosa questa tecnica è che le fasi successive sembrano richiamare la pagina di errore 404. Sebbene questo codice sia frustrante e venga mostrate spesso dai visitatori Web in caso di pagine mancanti, questa pagina contiene una parte nascosta del malware. “Inizialmente c’era confusione e ci chiedevamo se lo skimmer non fosse più attivo sui siti web delle vittime che abbiamo trovato” ha scritto Lvovsky.
Una ricerca approfondita nel codice 404 ha permesso di scoprire che gli effettivi processi di attacco erano nascosti in una stringa di commento. Ciò che Lvovsky ha scoperto è che l’aggressore aveva allertato lo script predefinito della pagina di errore 404 in modo che qualsiasi errore del sito Web richiamasse la pagina infetta. Questo strategia denota una certa scaltrezza da parte dei gestori di Magecart.
Uno dei motivi della resistenza di questo malware è che i suoi operatori evolvono continuamente i loro metodi di attacco, diventando sempre più sofisticati e pericolosi nel trovare metodi di evasione migliori. In poche parole, per i navigatori, ormai anche una pagina di errore 404 può risultare molto pericolosa.