Plus tôt dans la journée, BreachTrace a alerté le 10e plus grand distributeur alimentaire des États-Unis que l’un de ses sites Web avait été piraté et équipé d’un code qui vole les données de carte de crédit et de connexion. Bien que de telles attaques par écrémage de carte de site Web ne soient pas nouvelles, cette intrusion a exploité un nouveau domaine sournois qui se cache assez facilement dans le code source d’un site piraté : « http[.]ps » (le domaine malveillant réel n’inclut pas les crochets, qui sont là pour empêcher les lecteurs de cliquer dessus).
Ce domaine astucieux était caché dans les pages de paiement et de connexion pour grandwesternsteaks.comun service de livraison de viande appartenant à Cheney Bros. Inc., un important distributeur alimentaire basé en Floride. Voici à quoi ressemblait une partie de la page de connexion jusqu’à aujourd’hui, lorsque vous faisiez un clic droit sur la page et que vous sélectionniez « afficher la source » :
Le domaine malveillant ajouté au code HTML de grandwesternsteaks.com (surligné en orange) a récupéré un script qui a intercepté les données saisies par les clients, y compris les détails de carte de crédit et les identifiants. Le code a depuis été supprimé du site.
L’affichage de la source HTML du lien malveillant mis en évidence dans la capture d’écran ci-dessus révèle le code d’écrémage de carte masqué, dont un extrait est illustré ci-dessous :
Le code d’écrémage de carte obscurci est plein de références aux «fourmis» et aux «cafards», ce qui est suffisant pour donner à tout propriétaire de site le heebie-jeebies.
Une simple recherche sur le domaine malveillant « http[.]ps » au service de recherche HTML publicwww.com montre que ce code est présent sur près d’une douzaine d’autres sites, dont un détaillant d’instruments de musique, une herboristerie en Europe et une entreprise en Espagne qui vend contrôleurs logiques programmables — des ordinateurs et des circuits imprimés coûteux conçus pour contrôler de grandes opérations industrielles.
Le http[.]ps est hébergé en Russie et se trouve sur un serveur avec un autre domaine malveillant — capital automatique[.]pw. Selon un post Twitter du 3 mars par un chercheur en sécurité et blogueur Denis Sinegubkole domaine autocapital agit comme un collecteur de données aspiré par le http[.]ps script d’écrémage.
Jérôme Ségura à Malwarebytes a récemment écrit sur une attaque similaire dans lequel les intrus ont utilisé http[.]ps pour usurper l’emplacement d’un script qui permet d’améliorer les temps de chargement des pages pour les sites qui s’appuient sur l’entreprise d’infrastructure Web Nuageux.
« Il y a une différence subtile dans le chemin URI chargeant les deux scripts », a écrit Segura. « Le malicieux utilise un moyen astucieux pour transformer le nom de domaine http.ps (notez le point ‘.’, le ‘p’ supplémentaire et la double barre oblique ‘//’) en quelque chose qui ressemble à ‘https://’. Les acteurs de la menace profitent du fait que depuis la version 76 de Google Chromele schéma « https » (et le cas particulier du sous-domaine « www ») n’est plus montré aux utilisateurs. »
Segura dit qu’il y a deux façons dont les sites de commerce électronique sont compromis ici :
- Code d’écrémage qui est injecté dans une bibliothèque JavaScript auto-hébergée (la bibliothèque jQuery semble être la plus ciblée)
- Un script qui référence un JavaScript externe, hébergé sur un site malveillant (ici, http[.]ps)
Malwarebytes évalue que les astuces utilisées par ce domaine pour masquer le code malveillant sont liées à diverses campagnes de logiciels malveillants de piratage de sites datant de 2016. Au fait, une installation de Malwarebytes sur une machine de test utilisée pour cette enquête a bloqué le http[.]ps de se charger sur chacun des sites compromis que j’ai trouvés.
Enfin, le bit « .ps » du domaine d’écrémage malveillant fait référence au domaine de premier niveau de code de pays (ccTLD) pour le État de Palestine. Le domaine a été enregistré le 7 février.
Si vous exploitez un site Web de commerce électronique, ce serait une excellente idée de lire comment tirer parti Politique de sécurité du contenu (CSP) en-têtes de réponse et Intégrité des sous-ressources fonctions de sécurité offertes par les navigateurs Web modernes. Ceux-ci offrent des options d’atténuation pour empêcher votre site d’être utilisé dans ces attaques d’écrémage de cartes. Ryan Barnet à Akamaï écrit un article de blog complet sur ces approches il n’y a pas si longtemps, cela vaut la peine d’être lu [full disclosure: Akamai is an advertiser on this site].
J’ai joué récemment avec vie privée.com, qui propose entre autres un service gratuit qui permet aux utilisateurs de générer un numéro de carte de crédit unique et unique pour chaque transaction en ligne (privacy.com gagne de l’argent grâce aux frais d’interchange payés par les commerçants). La beauté de cette approche est que si les détails de votre carte de crédit sont balayés par l’un de ces écumeurs de sites, vous n’aurez pas à modifier les informations de votre carte de crédit sur des dizaines d’autres sites et services que vous fréquentez.