LES HACKERS DE MAGECART DIFFUSENT DES SHELLS WEB PHP MALVEILLANTS CACHÉS DANS LES FAVICONS DES SITES WEB

Posté le mai 15, 2021 à 17:19

LES HACKERS DE MAGECART DIFFUSENT DES SHELLS WEB PHP MALVEILLANTS CACHÉS DANS LES FAVICONS DES SITES WEB

Selon un nouveau rapport, les cybercriminels envoient des shells web PHP malveillants cachés dans les favicons des sites Web. Les hackers utilisent des portes dérobées PHP pour accéder à distance aux serveurs et lancer un skimmer JavaScript sur les sites d’achat en ligne pour extraire des informations financières sensibles.

Jerome Segura, de Malwarebytes, a écrit sur cet incident en déclarant que « ces shells web connus sous le nom de Smilodon ou Megalodon sont utilisés pour charger dynamiquement du code d’écrémage ou de skimming JavaScript via des requêtes côté serveur dans des magasins en ligne ».

Segura a ajouté que « cette technique est intéressante car la plupart des outils de sécurité côté client ne seront pas en mesure de détecter ou de bloquer le skimmer. »

Vol de données de cartes de crédit

La seule organisation de piratage connue pour avoir lancé une telle attaque est Magecart. Elle regroupe plusieurs groupes de hackers qui attaquent les paniers d’achat en ligne selon un procédé connu sous le nom de formjacking.

Le skimmer est déguisé en code JavaScript que les hackers saisissent dans le site de commerce électronique, principalement dans les sections de paiement. Une fois cette opération effectuée, les hackers collectent les détails de la carte de crédit du client en temps réel et les transfèrent à un serveur distant.

Cette dernière attaque est différente des autres attaques de skimming menées dans le passé. L’injection des skimmers se fait normalement du côté du client, qui les transfère à un rapport JavaScript, mais la nouvelle attaque est introduite du côté du serveur du commerçant.

La porte dérobée PHP est déguisée en favicon (« Magento.png »), et le logiciel malveillant est ensuite exécuté sur les sites affectés en modifiant les balises d’icône de raccourci dans le code HTML pour conduire au faux fichier image. Le shell web est ensuite déguisé pour voler des informations sur l’hôte externe. L’écrémeur de cartes de crédit utilisé dans ce cas est similaire à une autre version surnommée « Cardbleed » utilisée dans une attaque en septembre 2020. On pense que les hackers ont modifié leur attaque après que les utilisateurs ont été informés de la menace.

La responsabilité revient au groupe Magecart

Selon Malwarebytes, l’attaque est liée à Magecart Group 12 après analyse des méthodes, techniques et procédures. Le rapport ajoute également que « le plus récent nom de domaine que nous avons trouvé (zolo[.]pw) se trouve être hébergé sur la même adresse IP (217.12.204[.]185) que recaptcha-in[.]pw et google-statik[.]pw, domaines précédemment associés à Magecart Group 12.

Le groupe opère avec l’intention principale d’extraire et de récupérer des données de paiement. Les acteurs ont exploité plusieurs vecteurs d’attaque au cours des derniers mois, ce qui leur permet d’opérer sans être détectés tout en volant des données.

L’une des stratégies de dissimulation du groupe consiste à cacher le code du voleur de données de carte sur les métadonnées de l’image, puis à mener une série d’attaques par homographe IDN, qui sont cachées dans le fichier favicon du site Web. Le code exfiltre ensuite les données en utilisant Telegram et Google Analytics. Au cours des derniers mois, Magecart a renforcé sa stratégie d’exploitation en attaquant des boutiques en ligne et en volant des données.

L’écrémage des données est devenu l’une des pratiques les plus lucratives pour les acteurs malveillants. Un autre groupe de hackers à participer à cette activité est le groupe Lazarus, qui comprend des hackers parrainés par l’État qui ont des affiliations en Corée du Nord. Les hackers attaquent les sites web qui acceptent les paiements en crypto-monnaies. Ils effectuent l’écrémage à l’aide de codes JavaScript malveillants qui volent des bitcoins et des Ethereum dans le cadre d’une campagne baptisée « BTC Changer », qui a débuté en janvier 2020.

L’exfiltration des données des plateformes de paiement devient un problème critique dont les utilisateurs de sites web doivent être informés. Cependant, certaines attaques sont déguisées d’une manière que même les utilisateurs avancés du web ne peuvent pas découvrir.

Summary
LES HACKERS DE MAGECART DIFFUSENT DES SHELLS WEB PHP MALVEILLANTS CACHÉS DANS LES FAVICONS DES SITES WEB
Article Name
LES HACKERS DE MAGECART DIFFUSENT DES SHELLS WEB PHP MALVEILLANTS CACHÉS DANS LES FAVICONS DES SITES WEB
Description
Selon un nouveau rapport, les cybercriminels envoient des shells web PHP malveillants cachés dans les favicons des sites Web.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading