Posté le juillet 10, 2021 à 10:05
LES HACKERS DE MAGECART INSÈRENT SECRÈTEMENT DES CODES MALVEILLANTS POUR VOLER LES DONNÉES DES UTILISATEURS
Les chercheurs de Sucuri, lors d’une enquête sur le site de commerce électronique Magento 2 infiltré, ont découvert que des hackers cachent les activités malveillantes jusqu’à ce que les informations puissent être récupérées.
Selon le rapport, les attaquants sauvegardent les données en ligne qu’ils ont récupérées des cartes de crédit dans un fichier . JPG sur un site Web qu’ils ont infecté avec un code malveillant.
« L’utilisation créative du faux . JPG permet à un attaquant de dissimuler et de stocker les informations de carte de crédit récoltées », ont déclaré les chercheurs, ajoutant qu’ils le font d’une manière très intelligente qui n’attire pas l’attention de la victime.
Ils ont révélé que les hackers ont utilisé une injection de code malveillant qui capture les données des requêtes postales des visiteurs du site. Le code malveillant encode les données capturées avant qu’elles ne soient enregistrées dans un fichier JPG.
Le modèle de requête POST exige que le serveur Web accepte des données jointes pour les stocker et les masquer. Ce type de requête est généralement utilisé pour les transactions Web, lorsque quelqu’un soumet un formulaire Web rempli ou télécharge un fichier depuis un site Web.
Les acteurs de la menace installent secrètement des codes malveillants
Les chercheurs en sécurité ont déclaré que les acteurs de la menace ont implanté du code PHP dans un fichier appelé ./vendor/Magento/module-customer/Model/Session.PHP. Ensuite, ils ont chargé le code malveillant en utilisant la fonction « getAuthenticates ». Un fichier .JPG a également été créé avec le code, permettant aux acteurs de la menace de stocker les données qu’ils ont récupérées sur le site infiltré.
Cette fonctionnalité, lorsqu’elle est mise en place, permet aux hackers d’accéder facilement aux données, car ils peuvent télécharger les données quand ils le souhaitent et les cacher dans un fichier JPG.
Les hackers sont toujours à la recherche de nouvelles méthodes pour voler des informations sur les sites Web et autres plateformes en ligne. Alors que les chercheurs en sécurité et les équipes de sécurité de l’entreprise s’améliorent dans leurs tâches de surveillance, les acteurs malveillants évoluent sans cesse. Ils découvrent sans cesse de nouvelles méthodes pour contourner le mur de sécurité en dissimulant leurs activités de manière créative.
La récente campagne a utilisé le framework Magento
Les attaquants de Magecart sont connus pour s’adapter à toutes les situations de sécurité qu’ils rencontrent. Cela prouve donc que les acteurs de la menace étaient prêts à attaquer. Ils dissimulent généralement leurs méthodes d’écrémage dans des fonctionnalités qui semblent authentiques. Ils semblent également se cannibaliser en utilisant les plateformes qu’ils attaquent pour parvenir à leurs fins.
Par exemple, une campagne Magecart a été découverte en décembre de l’année dernière. Les acteurs de la menace utilisaient un code dissimulé dans les iframes PayPal pour voler les détails des cartes de crédit et les informations d’identification des utilisateurs.
La récente campagne a également utilisé le cadre de code Magneto pour mener à bien son activité immonde consistant à récolter les données volées et à les dissimuler dans le fichier JPG.
Le code malveillant a effectué son travail via la fonction Magento « getPostValue », en capturant les données de la page de paiement dans le paramètre « customer-Post ».
En outre, les chercheurs ont découvert qu’il utilisait la fonction Magento appelée « isLoggedIn » pour savoir si l’utilisateur ciblé s’était connecté au site. Outre le vol d’informations sur l’utilisateur, les acteurs de la menace récupèrent également son adresse électronique lors de la transaction.
Presque tous les informations que la victime a soumises sur la page de paiement sont stockées dans le « paramètre client », y compris les noms complets, les numéros de téléphone, les adresses, les informations sur les cartes de paiement, ainsi que les détails de l’agent utilisateur.
Lorsque les auteurs de la menace peuvent récupérer les données de paiement des clients, ils les utilisent pour différentes activités criminelles. Dans la plupart des cas, les hackers vendent les informations à ceux qui peuvent les utiliser pour des campagnes de phishing, des arnaques par e-mail et des fraudes à la carte de crédit.
Les propriétaires de sites Web sont invités à renforcer leur sécurité
Bien qu’il puisse être difficile de découvrir l’infection à cause de la dernière méthode d’anti-détection de Magecart, les propriétaires de sites Web peuvent détecter les modifications potentiellement malveillantes ou les nouveaux fichiers avant qu’ils ne deviennent plus nuisibles.
Les chercheurs ont conseillé aux propriétaires de sites Web d’améliorer leurs protocoles de sécurité de surveillance du Web afin de contrôler les activités des hackers.
Comme les auteurs des menaces conçoivent de nouvelles méthodes pour attaquer les sites web, les propriétaires et les utilisateurs devraient également mettre en place des mesures de sécurité plus strictes pour empêcher ces codes malveillants d’entrer dans leurs systèmes.
