Malware per carte di credito distribuito mediante Heroku

Malware per carte di credito distribuito mediante Heroku

Un ricercatore ha scoperto che gli skimmer di carte di pagamento hanno colpito quattro commercianti online con l’aiuto di Heroku, un fornitore di cloud di proprietà di Salesforce, ha scoperto.

Che cos’Heroku?

Heroku è una piattaforma cloud che è stato progettata con lo scopo di semplificare la creazione, la manutenzione e la fornitura di servizi online agli utenti. Si scopre così che il servizio rende le cose più facili anche per i truffatori per eseguire degli skimmers che si rivolgono a siti di terze parti.

Il ceo di Heroku sugli skimmers

Mercoledì scorso, Jérôme Segura, direttore dell’intelligence sulle minacce presso il fornitore di sicurezza Malwarebytes, ha dichiarato di aver trovato skimmers audaci su Heroku.

Gli hacker che erano dietro lo schema non solo hanno utilizzato il servizio per ospitare la propria infrastruttura skimmer e consegnarla a siti mirati, ma hanno anche usato Heroku per archiviare i dati delle carte di credito che hanno rubato. Segura ha detto ad Ars che gli amministratori di Heroku hanno sospeso i conti e rimosso gli skimmer entro un’ora dalla notifica.

Questa non è la prima volta che i servizi cloud presentano problemi di questo genere. Ad aprile è successo che Malwarebytes abbia documentato degli abusi di questo tipo su Github. Due mesi più tardi, il fornitore di sicurezza ha riferito che hanno avuto luogo degli skimmer che ospitati sui bucket Amazon S3.

Perché lo fanno?

Perché dal punto di vista di un disonesto ha senso abusare di un provider cloud. E perché lo è? Lo è in quanto spesso è gratuito. Inoltre, evita la scocciatura di registrare nomi di dominio simili e infine offre la massima disponibilità e larghezza di banda.

Segura in  post pubblicato mercoledì scorso ha scritto:

“Probabilmente continueremo a osservare degli skimmer Web che abusano di più servizi cloud in quanto sono un prodotto economico (anche gratuito) che possono scartare una volta terminato l’utilizzo”.

In un’e-mail, Segura ha documentato quattro account Heroku gratuiti che ospitano script destinati a quattro commercianti di terze parti. Eccoli:

stark-gorge-44782.herokuapp [.] com utilizzato contro il sito di shopping correcttoes [.] com

ancient-savannah-86049 [.] herokuapp [.] com / configration.js usato contro panafoto [.] com

pure-peak-91770 [.] herokuapp [.] com / intregration.js è stato usato contro alashancashmere [.] com

aqueous-scrubland-51318 [.] herokuapp [.] com / configuration.js è stato usato contro amapur.] de

Oltre a configurare gli account Heroku e distribuire il codice dello skimmer e i sistemi di raccolta dei dati, lo schema richiedeva la compromissione dei siti Web dei commercianti interessati attraverso mezzi del tutto sconosciuti o quasi (anche se alcuni dei siti eseguivano app Web senza patch). Gli aggressori hanno quindi iniettato una singola riga di codice nei siti compromessi. Il JavaScript iniettato, che era ospitato su Heroku, avrebbe monitorato la pagina corrente per la stringa con codifica Base64 “Y2hlY2tvdXQ =” – che si traduce in “checkout”.

Quando la stringa è stata rilevata, il JavaScript dannoso ha caricato un iframe che ha scremato i dati della carta di pagamento e li ha inviati, codificati in formato Base64, all’account Heroku. Lo skimmer indotto da iframe includeva una sovrapposizione sulla forma di pagamento legittima che sembrava identica a quella reale.

Clicca qui per vedere l’articolo originale e anche tre schermate che mostrano lo schema in azione.

Qual è il messaggio di questo post?

Il messaggio di questo post è che i pirati informatici sono sempre in agguato e sempre pronti a sfruttare le falle del sistema per poter colpire e potersi arricchire grazie alle proprie attività truffaldine. Dobbiamo stare, quindi, perennemente all’erta, non tanto noi, quanto chi gestisce questi siti?

0 voti


Informazioni sull'autore

Massimiliano Priore