Un hacker di lingua cinese che da più di un anno sottrae i numeri delle carte di credito dai siti di e-commerce e dai fornitori di servizi di punti vendita nella regione Asia/Pacifico, ha iniziato a prendere di mira obiettivi simili anche in America settentrionale e latina.
In una serie di attacchi almeno a partire dal maggio 2023, l’avversario ha sfruttato le vulnerabilità delle applicazioni Web – inclusa una vulnerabilità che il gruppo cinese Hafnium ha utilizzato nelle campagne di spionaggio informatico – per ottenere l’accesso a siti appartenenti a organizzazioni di diversi settori industriali. L'obiettivo principale di questi attacchi è ottenere l'accesso alle pagine di pagamento di questi siti e diffondere malware per rubare numeri di carte appartenenti a persone che effettuano acquisti online.
La campagna dello Skimmer silenzioso
Ricercatori di BlackBerry scoperto la campagna e lo stanno monitorando come "Silent Skimmer". In un post sul blog di questa settimana, hanno descritto la campagna come tecnicamente complessa e che potrebbe coinvolgere un attore di minacce avanzato o esperto.
Gli attacchi di skimming non sono certamente una novità. Una vasta raccolta di gruppi di hacker che i ricercatori hanno monitorato Magecart da anni, infatti, rubano con successo i dati delle carte di pagamento appartenenti a centinaia di milioni di acquirenti online in tutto il mondo. In molti di questi attacchi, gli autori delle minacce hanno preso di mira le vulnerabilità nei componenti software e nei plug-in di terze parti, come i contatori delle visualizzazioni di pagina e i widget di tracciamento dei visitatori, e vi hanno inserito il codice di skimming delle carte.
Negli ultimi anni centinaia di migliaia di siti di e-commerce sono stati vittime degli attacchi Magecart, tra cui: British Airways, Ticketmaster, Newegg e numerosi altri.
L'operatore della campagna Silent Skimmer ha sfruttato opportunisticamente le vulnerabilità nelle applicazioni rivolte al Web per ottenere l'accesso iniziale ai siti Web. Molti dei siti attaccati dall'autore della minaccia erano ospitati sul software server Web Internet Information Services (IIS) di Microsoft. Una delle vulnerabilità che l'autore della minaccia ha sfruttato nella sua campagna è CVE-2019-18935, un bug critico di esecuzione di codice in modalità remota nell'interfaccia utente di Telerik, una suite di componenti e strumenti di sviluppo Web di Progress Software. Tra i gruppi che hanno utilizzato il bug nelle loro campagne c'è quello cinese Gruppo afnio e il gruppo XE del Vietnam.
Se sul servizio Web di destinazione sono abilitate le autorizzazioni di scrittura, l'exploit carica una libreria di collegamento dinamico (DLL) dannosa in una directory specifica su di esso. La DLL avvia quindi una sequenza di passaggi che porta all'installazione sul sito Web di malware per lo skimming dei dati delle carte di credito e debito.
Campagna tecnicamente complessa
I ricercatori BlackBerry hanno osservato l'autore della minaccia utilizzare più strumenti separati per l'escalation dei privilegi, nonché uno strumento di accesso remoto, un exploit di esecuzione di codice in modalità remota, uno stager/downloader di malware e uno strumento per le attività post-exploit. Come spesso accade con le campagne malware di questi tempi, l'operatore di Silent Skimmer ha fatto affidamento su una serie di strumenti, file binari e script open source legittimi in molti dei suoi attacchi.
Un’indicazione che l’autore della minaccia dietro Silent Skimmer è tecnicamente competente è il modo in cui ha riadattato la sua infrastruttura di comando e controllo (C2) in base alla geolocalizzazione delle vittime. Per la campagna, l'autore della minaccia ha utilizzato server privati virtuali (VPS), spesso sulla piattaforma Azure di Microsoft, come server C2 per gli obiettivi appena assolti. Ogni server C2 rimane in genere online per meno di una settimana e spesso si trova nella stessa regione o paese della vittima. Per le vittime canadesi, ad esempio, BlackBerry ha scoperto che l'autore della minaccia aveva installato un VPS in Canada, mentre per le vittime statunitensi i server VPS si trovavano solitamente nello stesso stato della vittima.
L'obiettivo dietro questa tattica è garantire che il traffico da e verso i server compromessi si confonda con il traffico normale, ha affermato BlackBerry.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/payment-card-skimming-campaign-now-targeting-websites-in-north-america
