Meyhod Skimmer

I ricercatori di Infosec hanno rilevato un nuovo attacco di tipo Magecart. La minaccia implementata è stata denominata Meyhod Skimmer ed è stata scoperta in agguato su più siti di e-commerce. Tra le vittime ci sono Bsley, una famosa azienda di prodotti per il trattamento dei capelli, e il Chicago Architecture Center (CAC), una delle più grandi organizzazioni culturali della città. Non solo il Meyhod Skimmer è stato incorporato con successo nei siti Web interessati, ma è riuscito a rimanere lì per diversi mesi senza essere rilevato.

L'analisi ha rivelato che lo schiumatoio Meyhod non è così complesso come alcune delle altre recenti minacce di Magecart, come le ultime varianti di schiumatoio Grelos o lo schiumatoio Ant and Cockroach. Essere relativamente semplicistici non è un danno, in questo caso, poiché gli hacker responsabili dello scatenamento di Meyhod hanno avuto molta esperienza in questo tipo di operazione, ovviamente. Hanno elaborato meticolosamente la minaccia per renderla estremamente efficiente nel fondersi con l'ambiente del sito web della vittima. In effetti, i ricercatori di infosec hanno osservato che ogni sito Web infetto conteneva una minaccia Meyhoid Skimmer che mostrava lievi variazioni nel suo codice, indicando che i criminali informatici si sono presi il tempo di personalizzare il loro strumento malware per l'obiettivo specifico.

La metodologia di un attacco Meyhod Skimmer vede la minaccia suddivisa in più di una dozzina di funzioni, il che aiuta con l'offuscamento. Il codice danneggiato stesso viene aggiunto a risorse JavaScript legittime che variano da librerie JavaScript ampiamente utilizzate a codice creato su misura. Le risorse modificate vengono quindi incorporate nel carrello e nelle pagine di checkout tramite tag script che, a una rapida occhiata, potrebbero essere scambiati per una normale chiamata a una libreria. Una delle funzioni di Meyhod Skimmer chiamata "saveData" ha il compito di ottenere i dettagli della carta di credito sfruttando i selettori jQuery. Tutti i dati raccolti vengono quindi esfiltrati ai server Command-and-Control stabiliti per le operazioni tramite richieste POST AJAX.

Il Meyhod Skimmer mostra che il panorama degli attacchi in stile Magecart è ancora in evoluzione, con i cybercriminali che adottano radicalmente tecniche diverse. L'obiettivo finale, tuttavia, è rimasto lo stesso: violare le informazioni di pagamento sensibili compromettendo i siti di e-commerce.

Meyhod indica il panorama Magecart in continua evoluzione e in espansione che comprende il furto di informazioni di pagamento tramite siti Web di e-commerce compromessi.