Malware per carte di credito distribuito mediante Heroku

Un ricercatore ha scoperto che gli skimmer di carte di pagamento hanno colpito quattro commercianti online con l’aiuto di Heroku, un fornitore di cloud di proprietà  di Salesforce, ha scoperto.

Che cos’Heroku?

Heroku è una piattaforma cloud che è stato progettata con lo scopo di semplificare la creazione, la manutenzione e la fornitura di servizi online agli utenti. Si scopre cosଠche il servizio rende le cose più facili anche per i truffatori per eseguire degli skimmers che si rivolgono a siti di terze parti.

Il ceo di Heroku sugli skimmers

Mercoledଠscorso, Jà©rà´me Segura, direttore dell’intelligence sulle minacce presso il fornitore di sicurezza Malwarebytes, ha dichiarato di aver trovato skimmers audaci su Heroku.

Gli hacker che erano dietro lo schema non solo hanno utilizzato il servizio per ospitare la propria infrastruttura skimmer e consegnarla a siti mirati, ma hanno anche usato Heroku per archiviare i dati delle carte di credito che hanno rubato. Segura ha detto ad Ars che gli amministratori di Heroku hanno sospeso i conti e rimosso gli skimmer entro un’ora dalla notifica.

Questa non è la prima volta che i servizi cloud presentano problemi di questo genere. Ad aprile è successo che Malwarebytes abbia documentato degli abusi di questo tipo su Github. Due mesi più tardi, il fornitore di sicurezza ha riferito che hanno avuto luogo degli skimmer che ospitati sui bucket Amazon S3.

Perchà© lo fanno?

Perchà© dal punto di vista di un disonesto ha senso abusare di un provider cloud. E perchà© lo è? Lo è in quanto spesso è gratuito. Inoltre, evita la scocciatura di registrare nomi di dominio simili e infine offre la massima disponibilità  e larghezza di banda.

Segura in  post pubblicato mercoledଠscorso ha scritto:

“Probabilmente continueremo a osservare degli skimmer Web che abusano di più servizi cloud in quanto sono un prodotto economico (anche gratuito) che possono scartare una volta terminato l’utilizzo”.

In un’e-mail, Segura ha documentato quattro account Heroku gratuiti che ospitano script destinati a quattro commercianti di terze parti. Eccoli:

stark-gorge-44782.herokuapp [.] com utilizzato contro il sito di shopping correcttoes [.] com

ancient-savannah-86049 [.] herokuapp [.] com / configration.js usato contro panafoto [.] com

pure-peak-91770 [.] herokuapp [.] com / intregration.js è stato usato contro alashancashmere [.] com

aqueous-scrubland-51318 [.] herokuapp [.] com / configuration.js è stato usato contro amapur.] de

Oltre a configurare gli account Heroku e distribuire il codice dello skimmer e i sistemi di raccolta dei dati, lo schema richiedeva la compromissione dei siti Web dei commercianti interessati attraverso mezzi del tutto sconosciuti o quasi (anche se alcuni dei siti eseguivano app Web senza patch). Gli aggressori hanno quindi iniettato una singola riga di codice nei siti compromessi. Il JavaScript iniettato, che era ospitato su Heroku, avrebbe monitorato la pagina corrente per la stringa con codifica Base64 “Y2hlY2tvdXQ =” – che si traduce in “checkout”.

Ti potrebbe interessare:  SMS buono spesa aiuti della coop reg. LAZIO: attenzione allo spam

Quando la stringa è stata rilevata, il JavaScript dannoso ha caricato un iframe che ha scremato i dati della carta di pagamento e li ha inviati, codificati in formato Base64, all’account Heroku. Lo skimmer indotto da iframe includeva una sovrapposizione sulla forma di pagamento legittima che sembrava identica a quella reale.

Clicca qui per vedere l’articolo originale e anche tre schermate che mostrano lo schema in azione.

Qual è il messaggio di questo post?

Il messaggio di questo post è che i pirati informatici sono sempre in agguato e sempre pronti a sfruttare le falle del sistema per poter colpire e potersi arricchire grazie alle proprie attività  truffaldine. Dobbiamo stare, quindi, perennemente all’erta, non tanto noi, quanto chi gestisce questi siti?



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Malware per carte di credito distribuito mediante Heroku
warning 2168379 1280
Torna su