I cyber criminali hanno trovato il modo di compromettere un modulo di PrestaShop, chiamato pkfacebook, progettato per facilitare l’integrazione con Facebook: l’obiettivo della campagna malevola è distribuire uno skimmer di carte di credito sui siti di e-commerce vulnerabili e rubare i dati delle carte di credito per i pagamenti.

PrestaShop, lo ricordiamo, è una popolare piattaforma di e-commerce open source ampiamente utilizzata per la gestione dei negozi online. Questo specifico modulo consente ai commercianti di sincronizzare i loro negozi con Facebook, permettendo una gestione più efficiente delle loro attività di marketing e vendita.

I criminali informatici hanno sfruttato una vulnerabilità in questo modulo per inserire codice malevolo che intercetta i dati delle carte di credito inseriti dai clienti durante il processo di pagamento. In altre parole, ogni volta che un cliente effettuava un acquisto su un sito compromesso, le sue informazioni di pagamento venivano automaticamente trasmesse ai malintenzionati.

Dettagli dell’attacco e della vulnerabilità

La vulnerabilità è stata tracciata come CVE-2024-36680 ed è di tipo SQL injection presente in un modulo di integrazione Facebook per PrestaShop.

Se sfruttata, permette agli attaccanti di iniettare comandi SQL maligni tramite uno script Ajax contenente una chiamata SQL non sicura.

Questo consente agli aggressori di ottenere accesso non autorizzato al database del negozio online, manipolare i dati e inserire webskimmer per rubare informazioni sulle carte di credito degli utenti.

Cos’è un webskimmer

I webskimmer, noti anche come formjacking, sono una forma di malware che viene iniettata nei siti web per intercettare i dati inseriti dagli utenti nei moduli online.

Quando un cliente inserisce i dati della propria carta di credito in un sito compromesso, il webskimmer cattura queste informazioni e le invia agli attaccanti.

Questi strumenti sono estremamente pericolosi perché spesso passano inosservati sia agli utenti che ai gestori del sito fino a quando i danni non sono già stati fatti.

Meccanismo di attacco

Gli aggressori sfruttano questa vulnerabilità inviando richieste appositamente create al server del negozio online.

La mancanza di una valida sanificazione degli input permette a questi comandi di eseguire operazioni arbitrarie sul database, come estrarre dati sensibili, modificare tabelle o inserire codice maligno direttamente nel sito web.

Implicazioni e rischi

Le implicazioni di questa vulnerabilità sono gravi. I dati delle carte di credito rubati possono essere utilizzati per effettuare acquisti fraudolenti, compromettere ulteriormente la sicurezza finanziaria delle vittime e causare perdite economiche considerevoli.

Inoltre, le aziende che utilizzano PrestaShop potrebbero subire danni reputazionali significativi, perdendo la fiducia dei loro clienti e vedendo diminuire le vendite.

Questo attacco mette in evidenza l’importanza di mantenere aggiornati tutti i componenti di una piattaforma di e-commerce e di adottare misure di sicurezza robuste.

Le vulnerabilità nei moduli o nei plugin possono rappresentare un punto di ingresso per gli attaccanti, mettendo a rischio l’intera infrastruttura di un negozio online.

Raccomandazioni per i commercianti

Per mitigare i rischi associati a questa vulnerabilità, i commercianti che utilizzano PrestaShop e il modulo di integrazione con Facebook dovrebbero prendere immediatamente le seguenti misure:

1. Aggiornare i Moduli: Assicurarsi che tutti i moduli e i plugin utilizzati siano aggiornati alle versioni più recenti. Gli sviluppatori rilasciano frequentemente patch di sicurezza per correggere le vulnerabilità note.
2. Monitorare le Transazioni: Implementare sistemi di monitoraggio delle transazioni per individuare eventuali attività sospette che potrebbero indicare una compromissione della sicurezza.
3. Rafforzare la Sicurezza: Adottare misure di sicurezza avanzate come l’autenticazione a due fattori (2FA) per l’accesso alle piattaforme di gestione e-commerce, e crittografare i dati sensibili durante il trasporto e la memorizzazione.
4. Condurre Audit di Sicurezza: Eseguire regolarmente audit di sicurezza per identificare e risolvere eventuali vulnerabilità presenti nel sistema.
5. Educare il Personale: Formare il personale sui rischi associati alla sicurezza informatica e sulle migliori pratiche per prevenire attacchi.

Conclusione

Questo incidente evidenzia la necessità di un’attenzione costante alla sicurezza informatica nel mondo dell’e-commerce.

Le aziende devono essere proattive nel proteggere i dati dei loro clienti e garantire che le loro piattaforme siano sicure contro le minacce emergenti.

Solo attraverso un impegno continuo per la sicurezza si può mantenere la fiducia dei clienti e assicurare il successo a lungo termine nel mercato digitale.