Posté le mai 7, 2020 à 17:49
DES HACKERS SE CAMOUFLENT AVEC UN FAVICON POUR VOLER DES DONNÉES DE CARTES DE CRÉDIT
Un rapport récent a révélé que des hackers ont dissimulé une opération de web skimming en créant un faux portail d’hébergement d’images. Cet incident a été décrit comme l’une des campagnes de piratage les plus innovantes et les plus sophistiquées jamais détectées. Les hackers ont mis en place un site d’hébergement de fausses icônes pour dissimuler un code malveillant destiné à voler les données des cartes de paiement sur les sites web compromis.
L’opération de piratage est ce que l’on appelle communément l’attaque Magecart, l’e-skimming, ou le web skimming.
Le web skimming n’est pas une nouvelle forme d’attaque par les cybercriminels. L’opération existe depuis de nombreuses années, car les sociétés de sécurité élaborent sans cesse de nouvelles méthodes pour les arrêter alors que les hackers sont de plus en plus malins. La plupart des opérations de web skimming suivent un format similaire, mais leur forme et leur stratégie ont changé au fil des ans.
Des hackers ont conçu de fausses icônes de site d’hébergement
Selon un rapport publié par la société de cybersécurité Malwarebytes, la société a déclaré avoir découvert que l’un des groupes de hackers utilise une nouvelle astuce pour augmenter le niveau de sophistication des opérations de piratage.
Malwarebytes a réitéré qu’elle avait découvert le groupe de hackers lors d’une enquête récente sur des piratages étranges. L’entreprise a déclaré que l’image du logo des navigateurs (favicon), était la seule modification qu’elle avait vue sur les sites web piratés. À part l’image, tout le reste est identique à celui du site d’origine.
L’image du favicon ne contient aucun code malveillant caché et a été hébergée sur Mylcons.net, selon le rapport.
Néanmoins, bien que le changement semble authentique, la société de sécurité a noté que les codes de skimming étaient toujours chargés dans les sites piratés, ce qui montre que quelque chose ne va pas avec le nouveau favicon.
Les attaquants ont utilisé l’icône favicon comme leurre
Selon Malwarebytes, le skimming a été effectué de manière à ce que le site MyIcons.net charge un véritable fichier favicon pour l’ensemble des pages du site et laisse de coté les pages contenant les formulaires de paiement.
Sur ces pages, le site MyIcons.net remplace discrètement le favicon par un fichier javascript infecté afin de générer un faux formulaire de paiement et de voler les données de la carte de crédit.
Malwarebytes a réitéré que les propriétaires de sites web qui ont enquêté sur l’incident et ont accédé au cadre de MyIcons.net verraient un portail d’hébergement d’icônes légitime. Par conséquent, ils seraient amenés à croire qu’il s’agit d’un site web légitime.
L’entreprise de sécurité a également souligné que le portail légitime IconArchive.com a été cloné sur le portail MyIcons.net, qui a été conçu pour tromper les utilisateurs et leur faire croire qu’il est légitime.
Il y a quelques semaines, l’entreprise de sécurité Sucuri a signalé que le site web était également hébergé sur différents serveurs que certains hackers avaient utilisés auparavant pour leurs opérations de skimming.
Ce type de web skimming est généralement détecté
Les hackers à l’origine de cette opération ont beaucoup travaillé pour cacher le code malveillant. Cependant, comme l’ont prouvé d’autres piratages intrusifs par écrémage de cartes dans le passé, ils ne passent pratiquement pas inaperçus. Ils finissent généralement par être découverts par les sociétés de cybersécurité en raison de leur nature.
Pourtant, les hackers ont fait quelque chose d’inédit en construisant un portail d’hébergement de fausses icônes, ce qui ne s’est pas produit dans d’autres opérations de skimming. Certains autres cyber-attaquants qui ont mené des opérations similaires n’ont pas pu rester aussi sophistiqués que ce groupe, a révélé Malwarebytes.
Par exemple, le gang Zirconium comptait 28 fausses agences de publicité enregistrées, dont le but principal était de diffuser des publicités malveillantes sur des milliers de sites web. Lors d’un autre incident similaire, des hackers ont utilisé le cheval de Troie d’accès à distance Orcus pour enregistrer et exploiter une entreprise au Canada. Les skimmers ont affirmé qu’ils offraient des logiciels d’accès à distance aux travailleurs de l’entreprise.
Le même groupe de hackers est à l’origine des récentes opérations de Magecart
Le hacker responsable de la campagne de camouflage de favicon serait responsable d’autres opérations de Magecart qui ont eu lieu récemment. La récente attaque de mars a montré l’utilisation d’une bibliothèque JavaScrypt infectée qui s’est déguisée en Rocket Loader de CloudFlare. Et le serveur d’hébergement utilisé dans l’attaque a été détecté par la société de sécurité Sucuri alors qu’elle enquêtait sur une autre opération de Magecart.
Tout comme l’opération décrite ici, le skimmer de sites web a également été dissimulé par une technique ant_cockroach.
