Hacker prendono di mira i siti di beneficenza Caritas

Un cyberattacco ha colpito 17 siti web di Caritas Spagna, una importante organizzazione caritativa cattolica, compromettendo i dati delle carte dei donatori per più di un anno senza essere rilevato.

Gli aggressori hanno utilizzato un metodo chiamato web skimming, in cui un codice maligno viene inserito in un sito web per rubare informazioni sensibili dagli utenti. In questo caso, lo skimmer ha creato un falso modulo di donazione che imitava quello reale e catturava silenziosamente dati personali e di pagamento, tra cui nomi, indirizzi, numeri di carta, CVV e altro ancora.

“Questa campagna rafforza una tendenza più ampia che è stata osservata: le infezioni da web skimming sono sempre più guidate da kit modulari”, hanno scritto i ricercatori di Jscrambler che hanno segnalato l’hack scritto. Questi kit permettono agli hacker di combinare facilmente diversi strumenti e canali per consegnare e raccogliere i dati rubati.

I ricercatori dicono che i siti web infetti erano tutti alimentati da WooCommerce, un popolare plugin per i pagamenti online su WordPress. L’attacco si componeva di due parti: prima, un piccolo pezzo di codice nascosto veniva iniettato nella homepage del sito per contattare il server degli hacker.

Quindi, lo script di secondo livello ha aggiunto un falso pulsante “Continua” sopra quello vero. Una volta che gli utenti lo hanno cliccato, è stato mostrato loro un falso modulo di pagamento online, progettato per sembrare il gateway ufficiale della banca Santander.

Dopo aver catturato i dati, il modulo ha brevemente mostrato un’icona di caricamento prima di reindirizzare il donatore al sito di pagamento legittimo, rendendo la truffa più difficile da notare.

“È particolarmente preoccupante considerando l’obiettivo”, ha notato Jscrambler. “Caritas è un’organizzazione no-profit dedicata all’aiuto delle comunità vulnerabili. Eppure, gli aggressori erano felici di mantenere la loro operazione di skimming […] per oltre un anno.”

L’infezione è stata scoperta per la prima volta il 16 marzo 2025, e i siti web colpiti sono stati eventualmente disconnessi per manutenzione all’inizio di aprile dopo che Jscrambler ha preso contatti.

Entro l’11 aprile, il codice maligno è stato finalmente rimosso. Tuttavia, nel frattempo, gli hacker hanno cambiato tattica, modificando lo script per evitare il rilevamento.

I ricercatori hanno anche trovato segni che questo gruppo ha preso di mira altri siti web, utilizzando oltre 60 domini falsi per distribuire e raccogliere dati. Molti di questi erano ospitati sotto lo stesso IP, indicando una configurazione centralizzata. Jscrambler riporta che Caritas non ha rilasciato una dichiarazione ufficiale riguardo la violazione.