I ricercatori di Akamai hanno scoperto una nuova campagna di Magecart che sfrutta e si nasconde dietro domini di siti web legittimi e si serve di altre piattaforme oltre a Magento per portare a termine gli attacchi.
Il gruppo di hacker Magecart ha iniziato nel 2015 a colpire diversi brand globali molto noti attraverso la piattaforma Magento. Da allora si sono evolute nuove tecniche di Magecart, tra cui quelle utilizzate nella campagna più recente che ha fatto scalpore nelle ultime settimane.
Il codice dell’attacco viene iniettato nelle pagine web mirate con uno snippet di codice Javascript online progettato per assomigliare a popolari servizi di terze parti come Google Analytics/Tag Manager, utilizzando la codifica base64 e l’offuscamento con due diverse varianti di tecnica. Questi attacchi sono difficili da rilevare con i firewall per applicazioni web (WAF) e altri strumenti di sicurezza comuni e sono meglio protetti dall’utilizzo di strumenti e tecnologie che sfruttano il rilevamento comportamentale e delle anomalie.
Sia la portata che la durata degli attacchi hanno causato un impatto molto elevato per le aziende di commercio online che si rivolgono a centinaia di migliaia di visitatori ogni mese nel Nord America, in Europa e in America Latina.
Akamai fornisce strategie di mitigazione, strumenti di rilevamento e un archivio completo di indicatori di compromissione (IOC).
