Posté le décembre 4, 2019 à 16:32
DES HACKERS INJECTENT DU CODE MALVEILLANT SUR LE SITE WEB DE SMITH & WESSON
Avec les récentes mesures de répression contre les cyberattaquants, il semble que les activités de piratage informatique ne s’arrêtent pas de sitôt. Cette fois, ils ont tourné leur attention vers les fabricants d’armes américains, Smith & Wesson. Le site Web de l’entreprise était la cible d’un code malveillant destiné à voler les informations de carte de paiement des clients.
Les hackers ont installé un écrémeur de paiement sur le site Web du fabricant d’armes à feu avant la fin du Black Friday. La société a déclaré que le code installé par les hackers était toujours actif à compter du 2 décembre.
Cet incident fait partie de la série d’attaques de Magecart qui consistait à injecter des logiciels malveillants dans des sites de commerce électronique pour obtenir un accès non autorisé aux informations des utilisateurs et aux détails des cartes de crédit. Pas plus tard que le mois dernier, Macy a signalé une attaque similaire à partir du même logiciel malveillant. La société a déclaré qu’il existe un code malveillant que les attaquants utilisent pour accéder aux informations sensibles de leurs clients et des utilisateurs du site. Bien que l’entreprise ait essayé de résoudre le problème, elle a mis en garde les utilisateurs contre de telles attaques.
Comment l’attaquant s’est infiltré dans le site Web
BleepingComputer a effectué un test qui montre comment le pirate s’infiltre dans le site Web du fabricant de gomme à mâcher pour récupérer des informations sensibles de l’utilisateur. La société de recherche avait même contacté Smith & Wesson pour les informer de l’atteinte à la sécurité.
Lorsque le client décide d’entrer ses informations de paiement, les informations de l’utilisateur seront livrées à l’adresse du hacker. Une fois que l’attaquant a les informations de l’utilisateur, il peut se connecter au serveur et obtenir les informations de paiement. C’est ainsi que le hacker obtient les informations sensibles de l’utilisateur par l’intermédiaire des détails de sa carte de crédit sur la plate-forme de paiement.
Le code malveillant capture les informations financières et personnelles des clients et transfère les données à son émetteur. Ironiquement, ces hackers se sont cachés sous le nom de Sanguine Security pour perpétrer l’attaque. Selon Smith & Wesson, analyste en sécurité judiciaire, les écrémeurs se cachent habituellement sous le couvert de Sanguine Security pour récupérer des informations de leur hôte. C’est ce qui le rend intraitable et difficile à repérer à temps.
Il a ajouté que le hacker avait délibérément choisi Sanguine Security.
Le piratage ressemble de près à celui d’un certain groupe de pirates spécialisés dans les attaques Magecart. Dans ce type d’attaque, ils tirent des informations du portail ou des magasins en ligne de leurs victimes. Les hackers retirent les détails des cartes de crédit depuis ces magasins.
Smith & Wesson a souligné que les hackers ont profité de la faille de sécurité du portail Magneto eCommerce pour pirater le site Web du fabricant d’armes. Récemment, Magneto a informé ses clients d’une faille de sécurité et les a avertis de la violation. Il a demandé aux clients de se préparer en installant des correctifs pour empêcher toute exploitation par des utilisateurs non autorisés.
Du code malveillant existe toujours sur le portail
Jusqu’à aujourd’hui, le code malveillant est toujours très actif sur le site Web du fabricant d’armes à feu. La société n’a pas encore trouvé le moyen de supprimer ou de mettre fin à ses activités sur le site. Cependant, il assure à ses clients que la société travaille d’arrache-pied pour trouver une solution au problème et se débarrasser définitivement du logiciel malveillant.
Pour empêcher ce type d’attaque, les entreprises doivent mettre en œuvre les meilleures pratiques de sécurité en adoptant d’importants contrôles de CSI.
Le script est assez difficile à repérer car il injecte un script malveillant ou non, selon la section du site et les visiteurs. Quel que soit le site sur lequel il a été infesté, le JavaScipt ressemble à un script non malveillant et à un script normal de 11 Ko. Cela le rend beaucoup plus difficile à repérer car il semble authentique.
Mais pour ceux qui utilisent la plateforme AWS, les navigateurs non Linux ou ceux qui utilisent l’adresse IP basée aux États-Unis, le script fourni passera de 11 Ko à 20 Ko. Lorsque l’utilisateur charge le script, une fenêtre affichant un faux formulaire de paiement apparaît.