Ondata di attacchi skimming in Nord America: cosa sta succedendo?

Una massiccia campagna skimming, presumibilmente portata avanti da un hacker di lingua cinese, sta terrorizzando l’America settentrionale e Latina da più di un anno.

L’ultimo periodo, nello specifico, sembra che i furti di numeri delle carte di credito attraverso e-Commerce, stiano aumentando tra Canada e Stati Uniti. Da maggio 2023, infatti, anche grazie a una vulnerabilità delle applicazioni Web, questo attacco skimming ha preso piede nella parte nord del continente, prendendo di mira malcapitate vittime durante gli acquisti online.

I ricercatori di BlackBerry hanno scoperto la campagna e la stanno monitorando coin il nome in codice “Silent Skimmer“. In un post sul blog di questa settimana, tali specialisti hanno descritto l’operazione come tecnicamente complessa e che potrebbe coinvolgere un autore di minacce molto esperto.

Va comunque detto come gli attacchi di skimming non sono certamente una novità. Un vasto gruppo di gruppi di hacker che i ricercatori monitorano da anni come Magecart, infatti, ruba con successo i dati delle carte di pagamento appartenenti a centinaia di milioni di acquirenti online in tutto il mondo.

In molti di questi attacchi, gli autori delle minacce hanno preso di mira le vulnerabilità nei componenti software e nei plug-in di terze parti, inserendovi codice utile per il furto dei dati. Negli ultimi anni centinaia di migliaia di siti di e-commerce sono stati vittime degli attacchi Magecart, tra cui British Airways, Ticketmaster, Newegg e tanti altri.

Gli attacchi skimming verso e-Commerce sfruttano una vulnerabilità dei server IIS di Microsoft

L’operatore della campagna Silent Skimmer ha sfruttato opportunisticamente le vulnerabilità nelle applicazioni Web per ottenere l’accesso iniziale ad e-Commerce e siti simili. Molti di questi risultano ospitati sul software server Web Internet Information Services (IIS) di Microsoft.

Una delle vulnerabilità che l’autore della minaccia ha sfruttato nella sua campagna è CVE-2019-18935, un bug critico di esecuzione di codice in modalità remota nell’interfaccia utente di Telerik, una suite di componenti e strumenti di sviluppo Web di Progress Software. Tra i gruppi che hanno utilizzato il bug nelle loro campagne c’è il gruppo cinese Hafnium e il gruppo vietnamita noto come XE.

Se sul servizio Web di destinazione sono abilitate le autorizzazioni di scrittura, l’exploit carica una DLL dannosa in una directory specifica. La DLL avvia quindi una sequenza di passaggi che porta all’installazione sul sito Web di malware per lo skimming.

Anche se al momento questa operazione sembra non essere attiva sul continente europeo, gli esperti di sicurezza restano vigili per monitorare l’evoluzione di questa campagna.