Magecart diventa server-side e utilizza le immagini per esfiltrare i dati.



Magecart Group 12, è noto per aver svolto attacchi di skimming per rubare informazioni di pagamento dagli acquirenti su oltre 2000 siti di ecommerce nel 2020. Ora i ricercatori hanno pubblicato un rapporto che spiega come lo hanno fatto, descrivendo un nuovo approccio tecnico.


Il gruppo che ruba le carte di credito utilizza shell web PHP per ottenere l'accesso amministrativo remoto ai siti sotto attacco per rubare i dati delle carte di credito, piuttosto che utilizzare il loro codice JavaScript come in precedenza, che iniettavano nei siti vulnerabili per registrare le informazioni inserite dagli utenti nelle operazioni di checkout online, secondo il Threat Intelligence Team di Malwarebytes Labs.



Magecart 12, l'ultima incarnazione del gruppo web skimmer, continua a lanciare attacchi con malware per imitare una favicon, nota anche come "icona preferita" o "icona di collegamento", ovvero quella che trovate accanto al dominio del sito che state vedendo.


Esempio di favicon, tratto da wikipedia

Il file denominato "Magento.png" tenta di passare se stesso come immagine/png ma non ha il formato .PNG appropriato per un file immagine valido, afferma il rapporto. Il modo in cui viene iniettato nei siti compromessi consiste nel sostituire i tag dell'icona di collegamento legittimo con un percorso al file .PNG falso.