Negli ultimi giorni è stata avviata una nuova campagna per distribuire il noto info-stealer Vidar. Ignoti cybercriminali hanno scelto i siti di e-commerce come bersagli, sfruttando una falsa comunicazione relativa ad un acquisto non perfezionato. Ovviamente l’obiettivo è rubare informazioni aziendali e dati degli utenti.
Vidar colpisce i siti di e-commerce
I siti di e-commerce, soprattutto quelli basati su WordPress, sono molto “appetibili” perché è sufficiente sfruttare le vulnerabilità del CMS o dei plugin. I cybercriminali possono anche ottenere le credenziali di amministratore ed eseguire vari tipi di azioni, tra cui il furto dei dati che vengono successivamente venduti nel dark web o usati per chiedere una somma di denaro (estorsione).
L’attacco più recente è ingegnoso e pericoloso. Tramite email o form di contatto viene comunicato al proprietario del sito che non è stato completato l’ordine, ma il “cliente” ha ricevuto l’addebito di 550 dollari. Il cybercriminale afferma che l’operazione di acquisto è stata interrotta a causa di un errore, ma il pagamento è stato effettuato, quindi viene richiesto il rimborso.
Nella comunicazione è presente un link all’estratto conto bancario (fasullo) che conferma l’addebito. Cliccando sul link viene aperto un sito simile a Google Drive. Dato che l’anteprima del documento non può essere visualizzata è necessario scaricare il file PDF. In realtà si tratta dell’eseguibile di Vidar.
L’info-stealer inizia quindi a raccogliere numerosi dati dal computer della vittima, tra cui le credenziali dell’account di amministratore del sito di e-commerce. Il malware può rubare anche cookie e cronologia del browser, numeri delle carte di credito e le criptovalute dai wallet più noti.