Malware per carte di credito distribuito mediante Heroku


Annuncio:
Pagamenti più facili? Satispay
a

Un ricercatore ha scoperto che gli skimmer di carte di pagamento hanno colpito quattro commercianti online con l’aiuto di Heroku, un fornitore di cloud di proprietà  di Salesforce, ha scoperto.

Che cos’Heroku?

Heroku è una piattaforma cloud che è stato progettata con lo scopo di semplificare la creazione, la manutenzione e la fornitura di servizi online agli utenti. Si scopre cosଠche il servizio rende le cose più facili anche per i truffatori per eseguire degli skimmers che si rivolgono a siti di terze parti.

Il ceo di Heroku sugli skimmers

Mercoledଠscorso, Jà©rà´me Segura, direttore dell’intelligence sulle minacce presso il fornitore di sicurezza Malwarebytes, ha dichiarato di aver trovato skimmers audaci su Heroku.

Gli hacker che erano dietro lo schema non solo hanno utilizzato il servizio per ospitare la propria infrastruttura skimmer e consegnarla a siti mirati, ma hanno anche usato Heroku per archiviare i dati delle carte di credito che hanno rubato. Segura ha detto ad Ars che gli amministratori di Heroku hanno sospeso i conti e rimosso gli skimmer entro un’ora dalla notifica.

Questa non è la prima volta che i servizi cloud presentano problemi di questo genere. Ad aprile è successo che Malwarebytes abbia documentato degli abusi di questo tipo su Github. Due mesi più tardi, il fornitore di sicurezza ha riferito che hanno avuto luogo degli skimmer che ospitati sui bucket Amazon S3.

Perchà© lo fanno?

Perchà© dal punto di vista di un disonesto ha senso abusare di un provider cloud. E perchà© lo è? Lo è in quanto spesso è gratuito. Inoltre, evita la scocciatura di registrare nomi di dominio simili e infine offre la massima disponibilità  e larghezza di banda.

Segura in  post pubblicato mercoledଠscorso ha scritto:

“Probabilmente continueremo a osservare degli skimmer Web che abusano di più servizi cloud in quanto sono un prodotto economico (anche gratuito) che possono scartare una volta terminato l’utilizzo”.

In un’e-mail, Segura ha documentato quattro account Heroku gratuiti che ospitano script destinati a quattro commercianti di terze parti. Eccoli:

stark-gorge-44782.herokuapp [.] com utilizzato contro il sito di shopping correcttoes [.] com

ancient-savannah-86049 [.] herokuapp [.] com / configration.js usato contro panafoto [.] com

pure-peak-91770 [.] herokuapp [.] com / intregration.js è stato usato contro alashancashmere [.] com

aqueous-scrubland-51318 [.] herokuapp [.] com / configuration.js è stato usato contro amapur.] de

Oltre a configurare gli account Heroku e distribuire il codice dello skimmer e i sistemi di raccolta dei dati, lo schema richiedeva la compromissione dei siti Web dei commercianti interessati attraverso mezzi del tutto sconosciuti o quasi (anche se alcuni dei siti eseguivano app Web senza patch). Gli aggressori hanno quindi iniettato una singola riga di codice nei siti compromessi. Il JavaScript iniettato, che era ospitato su Heroku, avrebbe monitorato la pagina corrente per la stringa con codifica Base64 “Y2hlY2tvdXQ =” – che si traduce in “checkout”.

Quando la stringa è stata rilevata, il JavaScript dannoso ha caricato un iframe che ha scremato i dati della carta di pagamento e li ha inviati, codificati in formato Base64, all’account Heroku. Lo skimmer indotto da iframe includeva una sovrapposizione sulla forma di pagamento legittima che sembrava identica a quella reale.

Clicca qui per vedere l’articolo originale e anche tre schermate che mostrano lo schema in azione.

Qual è il messaggio di questo post?

Il messaggio di questo post è che i pirati informatici sono sempre in agguato e sempre pronti a sfruttare le falle del sistema per poter colpire e potersi arricchire grazie alle proprie attività  truffaldine. Dobbiamo stare, quindi, perennemente all’erta, non tanto noi, quanto chi gestisce questi siti?

Annuncio:
Pagamenti più facili? Satispay
a

👇 Da non perdere 👇



Trovalost.it esiste da 4556 giorni (12 anni), e contiene ad oggi 4171 articoli (circa 3.336.800 parole in tutto) e 20 servizi online gratuiti. – Leggi un altro articolo a caso
Annuncio:
Pagamenti più facili? Satispay
a
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.