Posté le juillet 9, 2020 à 14:57
PLUS DE 570 BOUTIQUES EN LIGNE PIRATÉES PAR LE GROUPE KEEPER
Au cours des trois dernières années, plus de 570 portails de commerce électronique en ligne ont été piratés par un groupe de hackers connu sous le nom de « Keeper ».
Un rapport récent a révélé que le groupe « Keeper » s’est introduit dans le backend de la boutique en ligne, a modifié son code source et a placé des scripts malveillants qui ont enregistré les données des cartes de paiement utilisées par les acheteurs en ligne pour effectuer leurs achats.
Ce type d’attaque est connu des sociétés de cybersécurité sous le nom de « Magecart », e-skimming, ou web skimming. Le nom Magecart a été tiré du premier groupe de hackers qui a utilisé les méthodes de web skimming.
Le groupe Keeper est actif depuis 2017
Les chercheurs en sécurité ont révélé que le groupe de hackers utilisant la méthode Web skimming est actif depuis avril 2017.
La société de renseignement sur les menaces Gemini Advisory a publié un rapport aujourd’hui, disant que le groupe de hackers Keeper est actif depuis avril 2017, et que son activité de web skimming est encore largement répandue aujourd’hui.
Gemini a révélé qu’il suivait les activités de Keeper parce que le groupe utilisait des panneaux de contrôle identiques pour le serveur principal où ils récupèrent les données des cartes de paiement des boutiques infectées.
L’équipe de sécurité a déclaré qu’elle avait pris les empreintes digitales du panneau de contrôle et suivi toutes les activités historiques de Keeper. Ces activités comprennent les URL malveillantes utilisées pour héberger leur infrastructure de piratage et les adresses des anciens panneaux de contrôle.
Il a également inclus une liste des magasins en ligne précédemment compromis où Keeper a placé ses scripts malveillants.
Gemini a souligné qu’environ 85 % des 570 boutiques piratées utilisent la plateforme de commerce électronique Magento. Beaucoup de ces boutiques étaient des petites et moyennes entreprises.
La plupart des sites web touchés étaient de petite et moyenne taille
Selon le classement du trafic Alexa d’Amazon, Gemini a révélé que la plupart des boutiques étaient des opérations à petite échelle, mais le groupe de hackers a également infiltré certains noms populaires.
Certains des sites ont jusqu’à un million de visites mensuelles. Gemini a fourni dans son rapport une liste des grands sites que Keeper a piratés.
En outre, l’équipe consultative de Gemini a révélé que lors de l’enquête sur l’infrastructure de piratage du groupe, elle a découvert que le Keeper n’avait pas correctement sécurisé l’un de leurs panneaux de fond, où le hacker extrait les données des cartes de paiement des boutiques en ligne.
Gemini a également souligné qu’il a été en mesure de collecter des logs du backend qui présentait des failles, contenant environ 2184 000 données de paiement que le groupe de hackers Keeper a volé entre juillet 2018 et avril de l’année dernière.
Avec le prix actuel du marché du web de 10 dollars pour une seule carte CNP (Card Not Present Card) piratée, Gemini estime que le groupe de hackers a accumulé plus de 7 millions de dollars provenant du vol et de la commercialisation de cartes de paiement piratées depuis que le groupe a commencé ses activités.
Le SAdvisaory de Gemini possède la liste complète des 570 sites que le groupe de hackers a pu infiltrer. Le groupe de hackers Keeper a d’autres noms connus d’autres équipes de recherche en sécurité. Le groupe est également connu sous le nom de JS-Sniffers 4., CoffeeMokko, ou Magecart Group #8 [1, 2].
Recorded Future, un groupe de cybersécurité de premier plan, a récemment annoncé qu’il avait acquis une participation minoritaire dans Gemini.
Cette année, les attaques Magecart se sont produites presque quotidiennement, touchant surtout les petites et moyennes entreprises de commerce électronique.
Les commerçants en ligne sont exposés à toute une série de vecteurs d’attaque différents lorsqu’ils opèrent sur un système de gestion de contenu obsolète, utilisent des modules complémentaires non patchés ou lorsque leurs administrateurs sont exposés à des attaques par injections SQL. Ces commerçants s’exposent à des groupes de hackers qui sont toujours prêts à saisir toutes les occasions d’infiltrer les systèmes, de voler des données importantes et de tirer profit de leurs activités.
Les groupes de hackers ont évolué au fil des ans
Mais l’équipe Gemini a suivi de près ces hackers, en particulier les hackers de Keeper. Actuellement, la société de sécurité a découvert plusieurs milliers d’attaques de Magecart. Les hackers et les attaquants Magecart ont utilisé des stratégies différentes, mais toutes visent un seul et même objectif, à savoir voler des informations des cartes de crédit pour les commercialiser sur le dark web afin de réaliser des gains financiers.
Cependant, les criminels ne sont pas faciles à traquer. Gemini Advisory a déclaré qu’ils améliorent toujours les stratégies et évoluent beaucoup pour s’attaquer à des victimes peu méfiantes qui ne prennent pas la sécurité des domaines très au sérieux.
