Posté le juin 4, 2023 à 5:47
DES HACKERS LANCENT DES CAMPAGNES DE VOL DE CARTES DE CRÉDIT MAGECART POUR COMPROMETTRE DES SITES LÉGITIMES
Des hackers ont lancé une nouvelle campagne malveillante de vol de cartes de crédit Magecart. Dans le cadre de cette campagne, les hackers ont compromis des sites légitimes et agi comme des serveurs de commande et de contrôle (C2) « improvisés » pour déployer et dissimuler les skimmers sur les plateformes de commerce électronique ciblées.
Des hackers compromettent des sites légitimes
L’attaque lancée par ces hackers est connue sous le nom de campagne de piratage Magecart. Dans ce type d’attaque, les hackers obtiennent un accès non autorisé aux boutiques en ligne où ils déploient des scripts malveillants. Ces scripts sont ensuite utilisés pour voler les données des cartes de crédit des clients et leurs informations personnelles au cours du processus de paiement.
Cette campagne de piratage a été révélée dans un rapport publié par les chercheurs d’Akamai. Les chercheurs ont indiqué que les acteurs de la menace avaient compromis des organisations aux États-Unis, au Royaume-Uni, en Australie, au Pérou, au Brésil et en Estonie.
L’entreprise de cybersécurité a également révélé que la majorité des victimes ciblées par cette campagne de piratage ont été violées pendant plus d’un mois. Le fait que de nombreuses victimes n’aient pas pu identifier les activités de ces hackers montre qu’ils ont été furtifs dans leur campagne pour éviter d’être détectés par les victimes et les programmes antivirus.
La première mesure prise par ces hackers a été de détecter les sites web légitimes vulnérables et de mener des campagnes de piratage contre ces sites. Ces sites ont été ciblés pour héberger des codes malveillants. Les hackers les ont également utilisés comme serveurs de commande et de contrôle qui ont ensuite été exploités pour permettre les attaques.
Ces hackers ont ensuite distribué des skimmers de cartes de crédit en utilisant ces sites web légitimes. Les sites compromis étaient ceux qui jouissaient d’une bonne réputation. Les acteurs de la menace ont évité d’être détectés et bloqués. Ces sites n’ont pas besoin de mettre en place leur propre infrastructure.
L’étape suivante a consisté à injecter un petit extrait de JavaScript dans les sites commerciaux ciblés. Cet extrait va chercher le code malveillant sur les sites web précédemment compromis.
Les chercheurs d’Akamai ont indiqué que la manière dont ces sites ont été compromis reste floue. Les hackers recherchent des vulnérabilités au sein des sites web ciblés ou sur des services tiers vulnérables aux attaques.
« Bien que la manière dont ces sites sont violés ne soit pas claire, d’après nos recherches récentes sur des campagnes antérieures similaires, les attaquants recherchent généralement des vulnérabilités dans la plateforme de commerce électronique des sites web ciblés (comme Magento, WooCommerce, WordPress, Shopify, etc.) ou dans des services tiers vulnérables utilisés par le site web », ont déclaré les chercheurs d’Akamai.
Comme indiqué précédemment, les hackers à l’origine de cette campagne sont furtifs afin d’éviter toute détection et de s’assurer qu’ils peuvent rester à l’intérieur des appareils ciblés tout en restant cachés.
Pour éviter cette détection, les attaquants ont caché le skimmer en utilisant le codage Base64. Ce skimmer dissimule également l’URL de l’hôte et a créé sa structure d’une manière qui ressemble à celle de Google Tag Manager ou de Facebook Pixel. Ces deux services tiers sont parmi les plus populaires, et les utiliser pour mener une attaque était moins susceptible d’éveiller les soupçons.
Des hackers compromettent des appareils pour voler des données
Le rapport publié par les chercheurs d’Akamai révèle que deux variantes du skimmer ont été utilisées pour mener cette campagne de piratage. La première variante impliquait une version fortement obscurcie.
Cette variante contenait une liste de sélecteurs CSS qui ciblaient les informations personnelles et les détails de la carte de crédit du client. Ces sélecteurs CSS variaient pour chaque site ciblé. Ces sélecteurs ont également été personnalisés de manière à répondre aux besoins de chaque victime.
La deuxième variante de skimmer utilisée dans cette attaque n’avait pas un niveau de protection élevé. Au lieu de cela, elle a révélé des indicateurs dans le code qui ont aidé Akamai et limité la portée de cette campagne, et a détecté les victimes supplémentaires ciblées dans cette campagne.
Les skimmers en question ont également obtenu un accès non autorisé aux données de ces clients. Les données ont par ailleurs été localisées sur le serveur de l’attaquant par le biais d’une requête HTTP créée sous la forme d’une balise IMG dans le skimmer.
Une couche de codage Base64 s’applique aussi aux données en question et est utilisée pour dissimuler la transmission et pour minimiser les chances que la victime détecte cette violation et pour dissimuler la nature de l’attaque.
Les propriétaires des sites web infectés peuvent se défendre contre les attaques de Magecart en protégeant correctement les comptes d’administration des sites web. Ils peuvent également installer des mises à jour de sécurité pour les plugins et le CMS.
Les clients des boutiques en ligne sont les plus exposés à cette menace. Ces clients peuvent réduire le risque d’exposition en utilisant des méthodes de paiement électroniques, des cartes virtuelles et en fixant des limites de débit sur leurs cartes de crédit.
