Posté le mai 15, 2021 à 17:19
LES HACKERS DE MAGECART DIFFUSENT DES SHELLS WEB PHP MALVEILLANTS CACHÉS DANS LES FAVICONS DES SITES WEB
Selon un nouveau rapport, les cybercriminels envoient des shells web PHP malveillants cachés dans les favicons des sites Web. Les hackers utilisent des portes dérobées PHP pour accéder à distance aux serveurs et lancer un skimmer JavaScript sur les sites d’achat en ligne pour extraire des informations financières sensibles.
Jerome Segura, de Malwarebytes, a écrit sur cet incident en déclarant que « ces shells web connus sous le nom de Smilodon ou Megalodon sont utilisés pour charger dynamiquement du code d’écrémage ou de skimming JavaScript via des requêtes côté serveur dans des magasins en ligne ».
Segura a ajouté que « cette technique est intéressante car la plupart des outils de sécurité côté client ne seront pas en mesure de détecter ou de bloquer le skimmer. »
Vol de données de cartes de crédit
La seule organisation de piratage connue pour avoir lancé une telle attaque est Magecart. Elle regroupe plusieurs groupes de hackers qui attaquent les paniers d’achat en ligne selon un procédé connu sous le nom de formjacking.
Le skimmer est déguisé en code JavaScript que les hackers saisissent dans le site de commerce électronique, principalement dans les sections de paiement. Une fois cette opération effectuée, les hackers collectent les détails de la carte de crédit du client en temps réel et les transfèrent à un serveur distant.
Cette dernière attaque est différente des autres attaques de skimming menées dans le passé. L’injection des skimmers se fait normalement du côté du client, qui les transfère à un rapport JavaScript, mais la nouvelle attaque est introduite du côté du serveur du commerçant.
La porte dérobée PHP est déguisée en favicon (« Magento.png »), et le logiciel malveillant est ensuite exécuté sur les sites affectés en modifiant les balises d’icône de raccourci dans le code HTML pour conduire au faux fichier image. Le shell web est ensuite déguisé pour voler des informations sur l’hôte externe. L’écrémeur de cartes de crédit utilisé dans ce cas est similaire à une autre version surnommée « Cardbleed » utilisée dans une attaque en septembre 2020. On pense que les hackers ont modifié leur attaque après que les utilisateurs ont été informés de la menace.
La responsabilité revient au groupe Magecart
Selon Malwarebytes, l’attaque est liée à Magecart Group 12 après analyse des méthodes, techniques et procédures. Le rapport ajoute également que « le plus récent nom de domaine que nous avons trouvé (zolo[.]pw) se trouve être hébergé sur la même adresse IP (217.12.204[.]185) que recaptcha-in[.]pw et google-statik[.]pw, domaines précédemment associés à Magecart Group 12.
Le groupe opère avec l’intention principale d’extraire et de récupérer des données de paiement. Les acteurs ont exploité plusieurs vecteurs d’attaque au cours des derniers mois, ce qui leur permet d’opérer sans être détectés tout en volant des données.
L’une des stratégies de dissimulation du groupe consiste à cacher le code du voleur de données de carte sur les métadonnées de l’image, puis à mener une série d’attaques par homographe IDN, qui sont cachées dans le fichier favicon du site Web. Le code exfiltre ensuite les données en utilisant Telegram et Google Analytics. Au cours des derniers mois, Magecart a renforcé sa stratégie d’exploitation en attaquant des boutiques en ligne et en volant des données.
L’écrémage des données est devenu l’une des pratiques les plus lucratives pour les acteurs malveillants. Un autre groupe de hackers à participer à cette activité est le groupe Lazarus, qui comprend des hackers parrainés par l’État qui ont des affiliations en Corée du Nord. Les hackers attaquent les sites web qui acceptent les paiements en crypto-monnaies. Ils effectuent l’écrémage à l’aide de codes JavaScript malveillants qui volent des bitcoins et des Ethereum dans le cadre d’une campagne baptisée « BTC Changer », qui a débuté en janvier 2020.
L’exfiltration des données des plateformes de paiement devient un problème critique dont les utilisateurs de sites web doivent être informés. Cependant, certaines attaques sont déguisées d’une manière que même les utilisateurs avancés du web ne peuvent pas découvrir.