Una recente ricerca pubblicata dagli esperti di Sansec ha messo in luce una nuova campagna di digital skimming (storicamente nota come attacco Magecart) che prende di mira le pagine di checkout di Magento/Adobe Commerce con una tecnica innovativa.

Infatti, a essere sfruttate non sono le vulnerabilità strutturali dei circuiti di pagamento, ma la fiducia intrinseca che i sistemi di sicurezza ripongono nei servizi legittimi.

Gli aggressori sarebbero riusciti a compiere l’intero ciclo di un furto di carte di credito, dall’infezione all’esfiltrazione dei dati, utilizzando esclusivamente l’infrastruttura ufficiale GTM (Google Tag Manager) e Stripe rispettivamente per iniettare il loader sulle pagine di checkout e per instaurare un canale di comando e controllo invisibile ai firewall e alle regole CSP (Content Security Policy).

Ricordiamo che:

• Google Tag Manager è una piattaforma legittima che permette ai team di marketing e analisi di inserire e aggiornare frammenti di codice (i “tag”, come Google Analytics, pixel di Meta, o script personalizzati) su un sito web senza dover ogni volta modificare direttamente il codice sorgente del sito stesso.
• Stripe è una piattaforma tecnologica internazionale che permette a qualsiasi azienda, sito e-commerce o professionista di accettare pagamenti online in modo rapido e sicuro.​ In pratica si occupa di trasferire il denaro dal conto del cliente (che inserisce la carta di credito su di un sito) al conto bancario del venditore.

Anatomia dell’attacco: il loader

Il meccanismo ideato dai criminali si articola in una catena di eventi, studiata per non destare alcun sospetto nei sistemi di monitoraggio, che inizia con la consegna del codice.

In questa prima fase, uno script leggero (il loader) inserito all’interno di un contenitore GTM legittimo si attiva su ogni pagina del sito e, non appena rileva che l’utente si trova nella pagina di checkout, scarica lo skimmer vero e proprio, dai metadati di un account Stripe controllato dagli attaccanti, per poi avviarlo.

Fonte: Sansec.

L’iniezione del piccolo pezzo di codice (loader) nella pagina di checkout del sito e-commerce avviene attraverso una vera e propria compromissione delle credenziali o un abuso di autorizzazioni dello strumento Google Tag Manager (ad esempio tramite phishing, furto di sessione o riutilizzo di password violate).

Gli aggressori ottengono così l’accesso all’account GTM aziendale e utilizzano i permessi legittimi di pubblicazione per inserire il loader che non contiene il codice dannoso, ma si limita solo a fare una chiamata legittima verso l’API ufficiale di Stripe (“api.stripe.com”) che restituisce il payload finale.

Infatti, il codice dello skimmer si trova scomposto nei metadati (meta0, meta1 ecc.) di un “customer record” di un account Stripe creato ad hoc (“cus_TfFjAAZQNOYENR”).

Il loader, dunque, scarica questi metadati tramite una normale chiamata API, li ricompone (funzione getMetaString()) e solo successivamente avvia lo skimmer riassemblato direttamente nel browser dell’utente.

Fonte: Sansec.

“Questo design consente all’attaccante di aggiornare lo skimmer in qualsiasi momento modificando i metadati di Stripe, senza bisogno di intervenire nuovamente sul tag GTM iniettato o sul negozio della vittima”, si legge nel rapporto dei ricercatori di Sansec.

Sansec avrebbe inoltre scoperto una variante dell’attacco in cui, al posto di Stripe, verrebbe utilizzato il servizio Google Firestore per il rilascio del payload, secondo un algoritmo simile che elude i controlli.

Anatomia dell’attacco: la raccolta dei dati

Successivamente avviene la fase di raccolta, in cui lo skimmer appena ricomposto monitora il pulsante di pagamento del modulo e, al momento del clic da parte dell’utente, cattura istantaneamente i dati della carta di credito, li offusca tramite una codifica XOR e li salva nella memoria locale del browser (nella variabile “localStorage”).

Fonte: Sansec.

IlSansec Forensics Team precisa altresì che “I selettori (payment[cc_cid], payment[cc_exp_year], [name=“street[0]”], [data-th=‘Grand Total’]) sono specifici del markup di checkout di Magento e Adobe Commerce”, e continua nella descrizione dell’algoritmo deputato alla raccolta dei dati: “Il pipe skimmer unisce la carta completa (numero, scadenza, CVV), l’indirizzo di fatturazione completo, i dettagli di contatto e il totale dell’ordine. Memorizza i dati solo quando tutti e quattro i campi della scheda sono presenti. Quindi aggiunge un marcatore |CP, codifica la stringa tramite XOR con la chiave EGAU3X9PAMJ8RYRNJSPV e la posiziona in localStorage sotto cus_customer_id.”.

Anatomia dell’attacco: l’esfiltrazione

Infine, la fase di esfiltrazione in una operazione separata prevede che il loader iniziale legga i dati cifrati memorizzati nel browser (dalla variabile “localStorage”) e li invii direttamente all’account Stripe dell’attaccante tramite una chiamata API e sotto forma di un falso profilo “customer” all’interno dello stesso account Stripe presidiato, eseguendo un primo invio un secondo dopo il caricamento della pagina e ripetendo l’operazione ogni sessanta secondi.

Il pannello di controllo Stripe dei criminali diventa così un database ordinato di carte di credito pronte all’uso.

Fonte: Sansec.

Le misure di sicurezza tradizionali risultano inefficaci

Per i proprietari di e-commerce e i team di sicurezza, questa campagna rappresenta una sfida complessa. Bloccare il dominio di Stripe per motivi di sicurezza significherebbe interrompere i pagamenti e bloccare le attività produttive aziendali.

La difesa deve quindi spostarsi sul monitoraggio rigoroso dell’integrità del codice JavaScript eseguito sui client e sull’adozione di controlli più rigorosi sugli accessi a piattaforme come Google Tag Manager, Stripe e Google Firestore.

Poiché gli attacchi abusano di domini fidati come Stripe, le misure e gli indicatori di sicurezza tradizionali (controllo presenza certificato HTTPS e verifica correttezza URL del sito web) risultano inefficaci anche per i clienti.

Si consiglia, pertanto, la necessità di adottare come strumenti di pagamento carte virtuali monouso o wallet digitali con token che rendono inutilizzabili i dati rubati dopo qualche secondo e di tenere sempre sotto controllo le proprie transazioni bancarie.