Lo specchio oscuro del checkout: dentro il furtivo colpo di web-skimming Magecart

Era una normale sessione di shopping - finché non lo è stata più. All’insaputa di migliaia di acquirenti online, una nuova e oscura campagna Magecart ha sottratto silenziosamente i dati delle carte di credito durante il checkout, nascondendosi in piena vista su siti di e-commerce legittimi. L’operazione, scoperta da Silent Push Preemptive Cyber Defense, rivela una gelida evoluzione del cybercrimine: gli attaccanti non si limitano a violare i siti - si mimetizzano in modo così perfetto che né i clienti né le aziende si accorgono che il furto è in corso.

Ciò che rende questa campagna particolarmente insidiosa è la sua finezza tecnica. Gli attori della minaccia - ritenuti parte del famigerato sindacato cybercriminale “Magecart” - hanno progettato l’attacco per infiltrarsi nei siti WordPress che eseguono WooCommerce e i plugin di pagamento Stripe. Iniettando JavaScript altamente offuscato nelle pagine di checkout, fanno sì che il codice malevolo si attivi solo quando un cliente è pronto a pagare. Il malware verifica persino la presenza di sessioni admin di WordPress e si autoelimina se ne rileva una, riducendo drasticamente la probabilità di scoperta.

Una volta che la vittima avvia il checkout, il codice entra in azione. Lo skimmer sovrappone un modulo di pagamento falso, riproducendo meticolosamente l’aspetto e il comportamento dell’interfaccia reale di Stripe. Convalida i numeri di carta in base al formato specifico di ciascun circuito, evidenzia gli errori in rosso e rileva automaticamente il brand della carta. Per l’acquirente, l’esperienza è impeccabile - fino al momento in cui preme “Effettua ordine”.

A quel punto, tutti i dettagli inseriti - nomi, numeri di carta, indirizzi, CVV - vengono raccolti, cifrati con una chiave hardcoded, codificati e inviati a server controllati dagli attaccanti. Il malware poi cancella ogni traccia del modulo falso, ripristina quello legittimo e genera un messaggio di errore. Gli acquirenti, ignari, spesso reinseriscono i dati credendo si tratti di un glitch, mentre le loro credenziali sono già state compromesse.

I ricercatori di Silent Push hanno tracciato l’esfiltrazione dei dati verso domini come lasorie[.]com e cdn-cookie[.]com, quest’ultimo collegato a un’entità di hosting sanzionata a livello europeo. La persistenza a lungo termine e l’ampiezza della campagna - che coinvolge più circuiti di pagamento a livello globale - segnalano una grave minaccia sia per le aziende sia per i consumatori.

I professionisti della sicurezza esortano gli operatori e-commerce a imporre rigorose Content Security Policy, verificare gli script di terze parti e monitorare eventuali modifiche non autorizzate al checkout. Per gli acquirenti, la vigilanza resta fondamentale: errori di pagamento inattesi o richieste duplicate del modulo dovrebbero essere considerati campanelli d’allarme, e il monitoraggio regolare degli estratti conto è imprescindibile.

Man mano che le tattiche di Magecart diventano sempre più sofisticate, il confine tra commercio legittimo e cybercrimine continua a sfumare. Nel mercato digitale, la fiducia è fragile - e in quest’ultima campagna viene trasformata in un’arma contro tutti noi.

WIKICROOK

• JavaScript offuscato: Il JavaScript offuscato è codice deliberatamente “rimescolato” per nasconderne il vero scopo, rendendo difficile per gli esseri umani e per gli strumenti di sicurezza analizzarlo o rilevare minacce.
• Web skimming: Il web skimming è un attacco informatico in cui gli hacker inseriscono codice malevolo nelle pagine di checkout online per rubare i dati di pagamento dei clienti durante gli acquisti.
• Iframe: Un iframe è un elemento web che incorpora una pagina dentro un’altra, spesso per contenuti esterni come i moduli di pagamento, ma può comportare rischi di sicurezza se usato in modo improprio.
• Content Security Policy (CSP): La Content Security Policy (CSP) è un insieme di regole del sito web che controlla quali contenuti possono essere caricati, aiutando a bloccare script malevoli ed elementi non autorizzati.
• Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.