Recentemente, i ricercatori di sicurezza informatica hanno individuato una campagna malware rivolta ai siti e-commerce che utilizzano Magento. Questa campagna si focalizza sul furto di dati delle carte di credito, utilizzando un metodo sofisticato per nascondere il codice malevolo all'interno dei tag immagine nel codice HTML, in modo da eludere i controlli di sicurezza. MageCart è il nome del malware utilizzato per sottrarre informazioni sensibili dai siti di shopping online. Gli attacchi MageCart sono noti per impiegare diverse tecniche, sia lato client che server, per compromettere i siti web e installare skimmer di carte di credito per facilitare il furto di dati.

Questo malware è attivato quando gli utenti visitano le pagine di pagamento e inseriscono i dettagli delle loro carte di credito. Gli attacchi MageCart hanno evoluto le loro tattiche nel tempo, nascondendo il codice malevolo tramite codifica e offuscamento in fonti apparentemente innocue, come immagini, file audio, icone e persino pagine di errore 404.

Nel caso specifico, il malware usa un tag <img> per nascondere il contenuto malevolo. Questo tag, che di solito contiene lunghe stringhe per i percorsi dei file immagine o immagini codificate Base64, è utilizzato come esca per attivare il codice JavaScript quando viene rilevato un evento onerror. Questo rende l'attacco particolarmente subdolo, poiché i browser si fidano intrinsecamente della funzione onerror. Se un'immagine non riesce a caricarsi, la funzione onerror attiva un'icona d'immagine rotta, ma in questo contesto viene utilizzata per eseguire JavaScript malevolo.

Il malware verifica se l'utente si trova sulla pagina di pagamento e aspetta che gli utenti ignari premano il pulsante di invio per trasferire le informazioni sensibili inserite a un server esterno. Il malware inserisce dinamicamente un modulo malevolo con campi per numero di carta, data di scadenza e CVV, estraendo poi i dati verso il dominio malevolo wellfacing[.]com. Gli attaccanti riescono così a evitare una facile individuazione da parte dei sistemi di sicurezza, codificando il loro script malevolo all'interno di un tag <img>, e facendo in modo che gli utenti finali non notino cambiamenti insoliti quando il modulo malevolo viene inserito.

Questo sviluppo si inserisce in un contesto più ampio di attacchi che sfruttano piattaforme come Magento, WooCommerce e PrestaShop, cercando di rimanere il più possibile inosservati. L'iniezione di malware nei siti è spesso più complessa rispetto a quella che colpisce altri tipi di siti web. In un caso recente, una società di sicurezza ha dettagliato un attacco che ha coinvolto un sito WordPress, sfruttando la directory dei plugin mu-plugins per inserire backdoor e eseguire codice PHP malevolo in modo furtivo.