{"id":2046,"date":"2020-05-07T17:49:53","date_gmt":"2020-05-07T15:49:53","guid":{"rendered":"https:\/\/fr.koddos.net\/blog\/?p=2046"},"modified":"2020-05-07T17:49:56","modified_gmt":"2020-05-07T15:49:56","slug":"des-hackers-se-camouflent-avec-un-favicon-pour-voler-des-donnees-de-cartes-de-credit","status":"publish","type":"post","link":"https:\/\/fr.koddos.net\/blog\/des-hackers-se-camouflent-avec-un-favicon-pour-voler-des-donnees-de-cartes-de-credit\/","title":{"rendered":"DES HACKERS SE CAMOUFLENT AVEC UN FAVICON POUR VOLER DES DONN\u00c9ES DE CARTES DE CR\u00c9DIT"},"content":{"rendered":"\n

Un rapport r\u00e9cent<\/a><\/strong> a r\u00e9v\u00e9l\u00e9 que des hackers ont dissimul\u00e9 une op\u00e9ration de web skimming en cr\u00e9ant un faux portail d’h\u00e9bergement d’images. Cet incident a \u00e9t\u00e9 d\u00e9crit comme l’une des campagnes de piratage<\/a><\/strong> les plus innovantes et les plus sophistiqu\u00e9es jamais d\u00e9tect\u00e9es. Les hackers ont mis en place un site d’h\u00e9bergement de fausses ic\u00f4nes pour dissimuler un code malveillant destin\u00e9 \u00e0 voler les donn\u00e9es des cartes de paiement sur les sites web compromis.<\/p>\n\n\n\n

L’op\u00e9ration de piratage est ce que l’on appelle commun\u00e9ment l’attaque Magecart, l’e-skimming, ou le web skimming.<\/p>\n\n\n\n

Le web skimming n’est pas une nouvelle forme d’attaque par les cybercriminels. L’op\u00e9ration existe depuis de nombreuses ann\u00e9es, car les soci\u00e9t\u00e9s de s\u00e9curit\u00e9 \u00e9laborent sans cesse de nouvelles m\u00e9thodes pour les arr\u00eater alors que les hackers sont de plus en plus malins. La plupart des op\u00e9rations de web skimming suivent un format similaire, mais leur forme et leur strat\u00e9gie ont chang\u00e9 au fil des ans.<\/p>\n\n\n\n

Des hackers ont con\u00e7u de fausses ic\u00f4nes de site d’h\u00e9bergement<\/strong><\/p>\n\n\n\n

Selon un rapport<\/a><\/strong> publi\u00e9 par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Malwarebytes, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 avoir d\u00e9couvert que l’un des groupes de hackers utilise une nouvelle astuce pour augmenter le niveau de sophistication des op\u00e9rations de piratage.<\/p>\n\n\n\n

Malwarebytes a r\u00e9it\u00e9r\u00e9 qu’elle avait d\u00e9couvert le groupe de hackers lors d’une enqu\u00eate r\u00e9cente sur des piratages \u00e9tranges. L’entreprise a d\u00e9clar\u00e9 que l’image du logo des navigateurs (favicon), \u00e9tait la seule modification qu’elle avait vue sur les sites web pirat\u00e9s. \u00c0 part l’image, tout le reste est identique \u00e0 celui du site d’origine.<\/p>\n\n\n\n

L’image du favicon ne contient aucun code malveillant cach\u00e9 et a \u00e9t\u00e9 h\u00e9berg\u00e9e sur Mylcons.net, selon le rapport.<\/p>\n\n\n\n

N\u00e9anmoins, bien que le changement semble authentique, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 a not\u00e9 que les codes de skimming \u00e9taient toujours charg\u00e9s dans les sites pirat\u00e9s, ce qui montre que quelque chose ne va pas avec le nouveau favicon.<\/p>\n\n\n\n

Les attaquants ont utilis\u00e9 l’ic\u00f4ne favicon comme leurre<\/strong><\/p>\n\n\n\n

Selon Malwarebytes, le skimming a \u00e9t\u00e9 effectu\u00e9 de mani\u00e8re \u00e0 ce que le site MyIcons.net charge un v\u00e9ritable fichier favicon pour l’ensemble des pages du site et laisse de cot\u00e9 les pages contenant les formulaires de paiement.<\/p>\n\n\n\n

Sur ces pages, le site MyIcons.net remplace discr\u00e8tement le favicon par un fichier javascript infect\u00e9 afin de g\u00e9n\u00e9rer un faux formulaire de paiement et de voler les donn\u00e9es de la carte de cr\u00e9dit<\/a><\/strong>.<\/p>\n\n\n\n

Malwarebytes a r\u00e9it\u00e9r\u00e9 que les propri\u00e9taires de sites web qui ont enqu\u00eat\u00e9 sur l’incident et ont acc\u00e9d\u00e9 au cadre de MyIcons.net verraient un portail d’h\u00e9bergement d’ic\u00f4nes l\u00e9gitime. Par cons\u00e9quent, ils seraient amen\u00e9s \u00e0 croire qu’il s’agit d’un site web l\u00e9gitime.<\/p>\n\n\n\n

L’entreprise de s\u00e9curit\u00e9 a \u00e9galement soulign\u00e9 que le portail l\u00e9gitime IconArchive.com a \u00e9t\u00e9 clon\u00e9 sur le portail MyIcons.net, qui a \u00e9t\u00e9 con\u00e7u pour tromper les utilisateurs et leur faire croire qu’il est l\u00e9gitime.<\/p>\n\n\n\n

Il y a quelques semaines, l’entreprise de s\u00e9curit\u00e9 Sucuri a signal\u00e9 que le site web \u00e9tait \u00e9galement h\u00e9berg\u00e9 sur diff\u00e9rents serveurs que certains hackers avaient utilis\u00e9s auparavant pour leurs op\u00e9rations de skimming.<\/p>\n\n\n\n

Ce type de web skimming est g\u00e9n\u00e9ralement d\u00e9tect\u00e9        <\/strong><\/p>\n\n\n\n

Les hackers \u00e0 l’origine de cette op\u00e9ration ont beaucoup travaill\u00e9 pour cacher le code malveillant. Cependant, comme l’ont prouv\u00e9 d’autres piratages intrusifs par \u00e9cr\u00e9mage de cartes dans le pass\u00e9, ils ne passent pratiquement pas inaper\u00e7us. Ils finissent g\u00e9n\u00e9ralement par \u00eatre d\u00e9couverts par les soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 en raison de leur nature.<\/p>\n\n\n\n

Pourtant, les hackers ont fait quelque chose d’in\u00e9dit en construisant un portail d’h\u00e9bergement de fausses ic\u00f4nes, ce qui ne s’est pas produit dans d’autres op\u00e9rations de skimming. Certains autres cyber-attaquants<\/a><\/strong> qui ont men\u00e9 des op\u00e9rations similaires n’ont pas pu rester aussi sophistiqu\u00e9s que ce groupe, a r\u00e9v\u00e9l\u00e9 Malwarebytes.<\/p>\n\n\n\n

Par exemple, le gang Zirconium<\/a><\/strong> comptait 28 fausses agences de publicit\u00e9 enregistr\u00e9es, dont le but principal \u00e9tait de diffuser des publicit\u00e9s malveillantes sur des milliers de sites web. Lors d’un autre incident similaire, des hackers ont utilis\u00e9 le cheval de Troie d’acc\u00e8s \u00e0 distance Orcus pour enregistrer et exploiter une entreprise au Canada. Les skimmers ont affirm\u00e9 qu’ils offraient des logiciels d’acc\u00e8s \u00e0 distance aux travailleurs de l’entreprise.<\/p>\n\n\n\n

Le m\u00eame groupe de hackers est \u00e0 l’origine des r\u00e9centes op\u00e9rations de Magecart<\/strong><\/p>\n\n\n\n

Le hacker responsable de la campagne de camouflage de favicon serait responsable d’autres op\u00e9rations de Magecart qui ont eu lieu r\u00e9cemment. La r\u00e9cente attaque de mars a montr\u00e9 l’utilisation d’une biblioth\u00e8que JavaScrypt infect\u00e9e qui s’est d\u00e9guis\u00e9e en Rocket Loader de CloudFlare. Et le serveur d’h\u00e9bergement utilis\u00e9 dans l’attaque a \u00e9t\u00e9 d\u00e9tect\u00e9 par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Sucuri<\/a><\/strong> alors qu’elle enqu\u00eatait sur une autre op\u00e9ration de Magecart.<\/p>\n\n\n\n

Tout comme l’op\u00e9ration d\u00e9crite ici, le skimmer de sites web a \u00e9galement \u00e9t\u00e9 dissimul\u00e9 par une technique ant_cockroach.<\/p>\n\n\n\n

\n

Haven't seen this before in a skimmer. ant_cockcroach() and ant_check. Probably just functions\/variables related to checking for devtools, but still, a unique naming scheme. Exfil to mage[.]biz[.]ua\/i.php – Skimmer loaded from jquery[.]in[.]ua\/js\/jquery.js #magecart<\/a> pic.twitter.com\/JZkN8NSbGY<\/a><\/p>— Eric Brandel (@AffableKraut) August 9, 2019<\/a><\/blockquote>