Des chercheurs repèrent un autre type de campagne d'écrémage de cartes Magecart

Un attaquant sous l'égide de Magecart a infecté un nombre inconnu de sites de commerce électronique aux États-Unis, au Royaume-Uni et dans cinq autres pays avec des logiciels malveillants pour écrémer les numéros de carte de crédit et les informations personnelles identifiables (PII) appartenant aux personnes effectuant des achats sur ces sites. Mais dans une nouvelle ride, l'acteur de la menace utilise également les mêmes sites que les hôtes pour diffuser le logiciel malveillant d'écrémage de cartes vers d'autres sites cibles.

Chercheurs d'Akamai qui a repéré la campagne en cours note que non seulement cela rend la campagne différente de l'activité précédente de Magecart, mais c'est aussi beaucoup plus dangereux.

Ils évaluent que les cyberattaques durent depuis au moins un mois et ont déjà potentiellement affecté des dizaines de milliers de personnes. Akamai a déclaré qu'en plus des États-Unis et du Royaume-Uni, il a repéré des sites Web touchés par la campagne au Brésil, en Espagne, en Estonie, en Australie et au Pérou.

Vol de carte de paiement et plus : un double compromis

Magecart est un collectif lâche de groupes cybercriminels impliqués dans des attaques d'écrémage de cartes de paiement en ligne. Au cours des dernières années, ces groupes ont injecté leurs écumeurs de cartes éponymes dans des dizaines de milliers de sites dans le monde entier, y compris des sites tels que TicketMaster ainsi que British Airways – et leur ont volé des millions de cartes de crédit, qu'ils ont ensuite monétisées de différentes manières. 

Akamai a recensé l'année dernière des attaques Magecart sur 9,200 2,468 sites de commerce électronique, dont 2022 XNUMX restaient infectés fin XNUMX.

Le typique modus operandi pour ces groupes a été d'injecter subrepticement du code malveillant dans des sites de commerce électronique légitimes - ou dans des composants tiers tels que des trackers et des paniers d'achat - que les sites utilisent, en exploitant des vulnérabilités connues. Lorsque les utilisateurs saisissent des informations de carte de crédit et d'autres données sensibles sur la page de paiement de sites Web compromis, les skimmers interceptent silencieusement les données et les envoient à un serveur distant. Jusqu'à présent, les attaquants ont principalement ciblé les sites exécutant la plate-forme de commerce électronique open source Magento dans les attaques Magecart.

La dernière campagne est légèrement différente en ce sens que l'attaquant n'injecte pas seulement un écumeur de carte Magecart dans les sites cibles, mais détourne également bon nombre d'entre eux pour distribuer du code malveillant. 

"L'un des principaux avantages de l'utilisation de domaines de sites Web légitimes est la confiance inhérente que ces domaines ont bâtie au fil du temps", selon l'analyse d'Akamai. « Les services de sécurité et les systèmes de notation de domaine attribuent généralement des niveaux de confiance plus élevés aux domaines ayant des antécédents positifs et un historique d'utilisation légitime. En conséquence, les activités malveillantes menées dans ces domaines ont plus de chances de ne pas être détectées ou d'être traitées comme bénignes par les systèmes de sécurité automatisés.

En outre, l'attaquant à l'origine de la dernière opération a également attaqué des sites exécutant non seulement Magento, mais également d'autres logiciels, tels que WooCommerce, Shopify et WordPress.

Une approche différente, même résultat

"L'une des parties les plus remarquables de la campagne est la façon dont les attaquants ont configuré leur infrastructure pour mener la campagne d'écrémage du Web", a écrit Roman Lvovsky, chercheur d'Akamai, dans le billet de blog. "Avant que la campagne ne puisse commencer sérieusement, les attaquants chercheront des sites Web vulnérables pour agir en tant qu'"hôtes" pour le code malveillant qui sera utilisé plus tard pour créer l'attaque par écrémage Web."

L'analyse d'Akamai de la campagne a montré que l'attaquant utilisait plusieurs astuces pour dissimuler l'activité malveillante. Par exemple, au lieu d'injecter le skimmer directement dans un site Web cible, Akamai a découvert que l'attaquant injectait un petit extrait de code JavaScript dans ses pages Web, puis récupérait le skimmer malveillant sur un site Web hôte. 

L'attaquant a conçu le chargeur JavaScript pour qu'il ressemble à Google Tag Manager, au code de suivi Facebook Pixel et à d'autres services tiers légitimes, de sorte qu'il devient difficile à repérer. L'opérateur de la campagne en cours de type Magecart a également utilisé l'encodage Base64 pour masquer les URL des sites Web compromis hébergeant le skimmer. 

"Le processus d'exfiltration des données volées est exécuté via une requête HTTP simple, qui est initiée en créant une balise IMG dans le code du skimmer", a écrit Lvovsky. "Les données volées sont ensuite ajoutées à la demande en tant que paramètres de requête, encodées sous forme de chaîne Base64."

Comme détail sophistiqué, Akamai a également trouvé du code dans le malware skimmer qui garantissait qu'il ne volait pas deux fois la même carte de crédit et les mêmes informations personnelles.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign