Grelos Skimmer

Grelos Skimmer è il nome dato a un ceppo di malware distribuito dagli hacker in attacchi in stile Magecart. Il Grelos Skimmer è stato utilizzato per diversi anni da quando è stato rilevato per la prima volta nel 2015. Durante questo periodo, più varianti sono state sviluppate e rilasciate da diversi gruppi di hacker diversi creando una notevole confusione quando si cerca di distinguere le operazioni di un gruppo da un altro.

Magercart denota un'operazione di attacco che vede gli hacker compromettere e rubare i dati delle carte di credito dai siti di e-commerce in particolare. Centinaia di siti web sono caduti vittime di questo attacco, inclusi alcuni importanti marchi come British Airways e Ticketmaster. Molti criminali informatici sono intervenuti, con la conseguente creazione di numerosi gruppi specializzati nel condurre tali attacchi. Nel panorama attuale, le caratteristiche separate degli attori della minaccia Magecart stanno iniziando a fondersi. I primi esempi sono le ultime varianti di Grelos Skimmer che sono state scoperte dai ricercatori di RiskIQ.

Queste nuove minacce di skimmer riutilizzano porzioni significative di codice precedente, con alcune sezioni in grado di essere ricondotte alle prime istanze di Magecart. Nonostante siano stati rilasciati da diversi gruppi, c'è una significativa sovrapposizione nei ceppi: contengono uno stadio di caricamento e uno di skimmer, utilizzano la codifica base64 e socket Web per l'esfiltrazione dei dati. Sono state trovate solo piccole differenze, come quella che utilizza uno strato di codifica base64 mentre l'altro genera cinque strati. Tuttavia, l'ultima versione è stata dotata di un falso modulo di pagamento che raccoglie tutti i dati inseriti dagli utenti. Secondo i ricercatori, dozzine di siti sono già stati compromessi da questa variante di Grelos Skimmer.