Gli skimmer nascosti negli ATM sono sempre meno utilizzati, ma negli ultimi anni è aumentata la diffusione delle corrispondenti versioni digitali. Gli esperti di Malwarebytes hanno scoperto un web skimmer nei metadati EXIF di un’immagine utilizzata da uno store online che sfrutta il popolare plugin WooCommerce per WordPress. L’obiettivo dei cybercriminali è sempre lo stesso: rubare i dati della carta di credito.
Malwarebytes aveva già individuato skimmer digitali nascosti nelle favicon (le icone dei siti mostrati nella schede del browser) all’inizio di maggio. In quel caso, invece dell’immagine PNG, veniva caricato un codice JavaScript che sovrascriveva il menu di selezione della carta di credito nella pagina dei pagamenti.
Nel caso più recente viene caricata un normale file favicon.ico, ma con una piccola modifica ai metadati EXIF: nel campo Copyright è stato inserito il codice JavaScript del web skimmer. Quando l’immagine viene caricata dal server, il codice viene eseguito e consente di memorizzare le informazioni digitate dall’utente nella pagina del pagamento, tra cui nome, indirizzo di fatturazione e i dettagli della carta di credito (numero, scadenza, CVV). Se un sito di e-commerce non utilizza i servizi Verified by VISA o Mastercard SecureCode, i cybercriminali possono facilmente svuotare la carta o il conto corrente.
In base all’analisi effettuata dagli esperti di Malwarebytes, lo skimmer digitale potrebbe essere opera del famigerato Magecart Group 9 che ha sviluppato la precedente versione dello skimmer. Questo tipo di malware è difficile da rilevare, quindi è sempre consigliato l’utilizzo di un antivirus. I proprietari dei siti di e-commerce dovrebbero verificare la presenza di vulnerabilità nei plugin per WordPress ed installare al più presto la versione aggiornata.