Un attacco stile Magecart ha colpito siti OpenCart iniettando malware nei moduli di pagamento per rubare dati sensibili.
Un nuovo e allarmante attacco informatico ha preso di mira migliaia di siti e-commerce nel mondo, sfruttando la popolarità del CMS OpenCart. La modalità d’attacco è molto simile a quella già nota con il nome di Magecart: il malware intercetta i dati delle carte di credito sostituendo i veri moduli di pagamento con versioni false, perfettamente camuffate.
Secondo i ricercatori di sicurezza informatica di c/side, l’attacco sfrutta JavaScript malevolo nascosto all’interno di script legittimi come quelli di Google Tag Manager e Meta Pixel, rendendosi invisibile ai controlli di sicurezza più comuni.
Come funziona l’attacco malware ai siti OpenCart
L’elemento più insidioso di questo attacco è la sua capacità di mimetizzarsi. I cybercriminali hanno inserito righe di codice malevolo all’interno delle pagine di destinazione di molti siti che utilizzano OpenCart. Lo script malevolo è stato offuscato per non essere riconosciuto facilmente, facendo uso di codifiche Base64, riferimenti esadecimali e funzioni eval().
Il malware si presenta come un normale snippet di tracciamento ma, una volta attivo, intercetta la pagina di pagamento e inietta un modulo fittizio. Questo modulo, visivamente identico a quello reale, raccoglie dati sensibili come il numero della carta di credito, la data di scadenza e il codice CVC. Ogni interazione dell’utente viene intercettata, grazie a listener attivi su eventi come il “keydown”, “blur” e “paste”.
Dopo la raccolta, i dati vengono inviati in tempo reale a server controllati dagli hacker. I domini principali utilizzati per l’esfiltrazione delle informazioni sono ultracart.shop e hxjet.pics.
Rischi concreti per clienti e venditori con il malware
Il rischio per gli utenti è evidente: chiunque effettui un acquisto su uno di questi siti compromessi potrebbe trovarsi vittima di furto di dati bancari. Ciò che rende ancora più pericoloso questo attacco è la strategia impiegata: dopo l’invio dei dati della carta, il modulo autentico viene nascosto e la vittima viene reindirizzata a un’ulteriore schermata che chiede dettagli bancari aggiuntivi, come eventuali codici di sicurezza o autenticazione.
Curiosamente, i dati rubati non vengono utilizzati immediatamente. Secondo il report, alcune carte sottratte sono state usate solo dopo mesi. In un caso specifico, un pagamento telefonico è stato effettuato il 18 giugno da parte di un operatore statunitense, mentre un’altra carta è stata usata per un pagamento da €47,80 verso un venditore non identificato.
Questo ritardo nell’uso dei dati potrebbe indicare una strategia più sofisticata: i criminali stanno forse archiviando grandi quantità di dati per usarli in momenti mirati o rivenderli nel dark web.
Sicurezza e prevenzione: cosa devono fare gli e-commerce
L’attacco mette in luce una debolezza strutturale nei sistemi SaaS e nei CMS open source come OpenCart. L’adozione di strumenti di sicurezza di base, come firewall e plugin antimalware, non è più sufficiente. Gli script di terze parti sono spesso terreno fertile per vulnerabilità che vengono sfruttate senza bisogno di violazioni dirette del server.
Soluzioni di sicurezza avanzata come quelle proposte da c/side permettono di monitorare il comportamento degli script in tempo reale, individuando eventuali anomalie nei form HTML, script iniettati e URL sospetti. È fondamentale che i gestori di e-commerce implementino sistemi di rilevamento comportamentale e non si affidino esclusivamente alla verifica della reputazione delle librerie esterne.
Anche una revisione periodica del codice e dei servizi esterni collegati al sito può aiutare a prevenire l’infiltrazione di codice malevolo. Inoltre, è fondamentale tenere aggiornati i plugin e il CMS stesso, ed evitare strumenti non ufficiali o poco noti.
In conclusione, l’attacco ai siti OpenCart rappresenta l’ennesimo esempio di come le minacce informatiche evolvano con rapidità. La fiducia dei clienti dipende dalla capacità dei venditori online di proteggere i dati sensibili in ogni fase dell’esperienza d’acquisto. Per garantire questa protezione, la sicurezza informatica deve essere una priorità assoluta.
[fonte]