Posté le mai 18, 2022 à 8:05
DES HACKERS IMPLANTENT UN CODE PHP MALVEILLANT POUR VOLER DES DONNÉES DE CARTES DE CRÉDIT
Le Federal Bureau of Investigations (FBI) a lancé un avertissement selon lequel certains hackers créent une porte dérobée dans les systèmes des victimes et accèdent aux données de leurs cartes de crédit. L’agence a déclaré que les attaquants saisissent les données des cartes de crédit sur les pages de paiement de certains sites Web d’entreprises Américaines.
Les acteurs de la menace non identifiés ont injecté un code PHP (Hypertext Preprocessor) malveillant dans la page de paiement en ligne du site Web de l’entreprise ciblée. Après avoir copié les données, ils les envoient au serveur de contrôle des hackers, selon le FBI.
Ces dernières années, les sites de commerce électronique ont été de plus en plus menacés par des attaques de piratage de cartes Magecart basées sur JavaScript. Toutefois, le code PHP est resté une source majeure de leurs activités d’écrémage de cartes.
Les attaquants obtiennent des portes dérobées
Selon les rapports, les acteurs de la menace ont commencé à cibler les entreprises Américaines en septembre 2020 en implantant un code PHP malveillant dans les pages de paiement en ligne. Cependant, les acteurs de la menace ont changé leurs méthodes d’attaque plus tôt cette année et ont commencé à utiliser une fonction PHP différente.
Les attaquants ont commencé à cibler les entreprises Américaines en septembre 2020 en insérant un code PHP malveillant dans les pages de paiement en ligne personnalisées. Mais plus tôt cette année, les acteurs ont changé de tactique en utilisant une fonction PHP différente.
Les attaquants ont créé une porte dérobée de base avec une fonction de débogage qui leur a permis de télécharger deux webshells sur le serveur du site Web de la société Américaine. Les hackers ont ainsi pu accéder à la porte dérobée pour l’exploiter davantage.
D’après les détails techniques fournis par l’agence, les acteurs de la menace ont commencé par cibler trois adresses de protocole Internet (IP) : 80.249.206.197, 80.82.64.211 et 80.249.207.19.
Les hackers ont modifié le fichier TempOrders.php associé pour insérer un code PHP malveillant dans la page Web de paiement en ligne de l’entreprise ciblée. Ils ont modifié la page de paiement à l’aide de l’instruction include() : include (« includes/cart_required_files.php »).
Les acteurs de la menace ont exploité cette fonctionnalité pour leur permettre d’implanter le contenu de TempOrders.php dans le fichier de caisse cart_required_files.php.
Les portes dérobées pourraient donner un accès puissant aux hackers
Sucuri a noté que les backdoors webshell pourraient fournir un accès complet aux attaquants, notamment au système de fichiers du site web. Cela permet généralement d’obtenir une image complète de l’environnement d’attaque, qui comprend les versions de PHP et les autres systèmes d’exploitation du serveur.
Il peut également leur donner accès à une forte fonctionnalité permettant de modifier les autorisations de fichiers et de les transférer dans des répertoires ou des sites web adjacents.
Sucuri a également indiqué que parmi les 400 signatures de logiciels malveillants qu’elle a recueillies en 2021, environ 19 % sont des Webshells. La société de sécurité indique qu’il y a eu une augmentation massive des signatures d’écrémeurs de cartes de crédit basés sur PHP l’année dernière, en particulier ceux qui ont impacté les principales plateformes de commerce électronique comme OpenCart, Magento et WordPress.
Les acteurs de la menace ont également mis en place un accès par porte dérobée au système ciblé en mettant à jour deux fichiers sur la page de paiement. Le FBI partage de nouveaux indicateurs de compromission (IOC) qui peuvent aider les entreprises à défendre leurs systèmes.
Le FBI recommande des mesures d’atténuation
Le FBI a également recommandé une méthode d’atténuation de l’attaque. L’agence a recommandé aux entreprises de modifier les identifiants de connexion par défaut sur tous leurs systèmes. Elles devraient également envisager de sécuriser les sites Web en utilisant le protocole SSL (secure socket layer). En outre, elles devraient procéder à la segmentation et à la ségrégation des systèmes du réseau afin de réduire la facilité avec laquelle les acteurs de la menace peuvent passer de l’un à l’autre.
Le FBI a également conseillé aux entreprises de surveiller les requêtes effectuées contre leur environnement de commerce électronique afin d’identifier d’éventuelles activités malveillantes.
Selon la société de sécurité Sucuri, les logiciels malveillants d’écrémage de cartes de crédit en PHP sont responsables de 41 % des nouveaux échantillons de logiciels malveillants d’écrémage de cartes de crédit en 2021. Cela montre que ceux qui analysent uniquement pour identifier les infections JavaScript pourraient passer à côté d’une grande partie des activités des logiciels malveillants écrémeurs de cartes de crédit. Leurs activités se développent rapidement et les entreprises sont tenues de prendre les mesures nécessaires pour protéger leurs sites Web contre ces exercices d’écrémage de cartes.
L’agence a également conseillé aux entreprises d’installer des logiciels tiers provenant de sources fiables et de s’associer au fabricant pour s’assurer que leur système de sécurité empêche tout accès non autorisé aux données qu’elles traitent et stockent. Elles sont également tenues d’appliquer des correctifs à tous les systèmes pour détecter les bugs critiques, en faisant de la correction des serveurs connectés à Internet une priorité.
Ces serveurs sont connus pour plusieurs vulnérabilités critiques et les acteurs de menaces peuvent les utiliser comme porte dérobée pour infiltrer les systèmes. Les entreprises devraient également mettre en œuvre des protocoles de sécurité de base tels que l’utilisation de protocoles d’authentification multifactorielle pour protéger les comptes individuels. Elles devraient surveiller les applications web et les blogs pour bloquer les accès non autorisés ainsi que les activités anormales sur les systèmes.
