[ad_1]

Les escrocs qui piratent les marchands en ligne pour voler les données des cartes de paiement trouvent constamment des moyens astucieux de cacher leur code malveillant sur les sites Web. Dans les âges passés d’Internet, cela signifiait souvent l’obscurcir comme des gouttes géantes de texte charabia qui étaient évidents même pour un œil non averti. De nos jours, un site de commerce électronique compromis est plus susceptible d’être ensemencé avec un petit extrait de code qui invoque un domaine hostile qui semble inoffensif ou qui est pratiquement impossible à distinguer du propre domaine du site piraté.

Avant d’aller plus loin, je dois noter que cet article inclut des références à des domaines qui sont soit compromis, soit qui volent activement des données utilisateur. Bien que le code malveillant implanté sur ces sites ne soit pas conçu pour imposer des logiciels malveillants aux visiteurs, sachez que cela peut changer à tout moment. Quiconque cherche à afficher le code brut sur les sites référencés ici doit procéder avec prudence ; à l’aide d’un visualiseur de code source en ligne comme celui-ci peut permettre aux lecteurs de visualiser en toute sécurité le code HTML sur n’importe quelle page Web sans réellement le rendre dans un navigateur Web.

Comme son nom l’indique, asianfoodgrocer-dot-com propose une gamme de comestibles. Il comprend également actuellement un peu épicé de code d’écrémage de carte qui est hébergé sur le domaine zoobashop-dot-com. Dans ce cas, il est facile de manquer le code malveillant lors de l’examen de la source HTML, car il s’intègre parfaitement dans une seule et courte ligne de code.

Zoobashop est également un site de commerce électronique actuellement piraté. Basé à Accra, au Ghana, zoobashop se présente comme le « plus grand magasin en ligne » du Ghana. En plus d’offrir des offres intéressantes sur une gamme d’appareils électroniques et électroménagers, il sert actuellement un petit script obscurci appelé « js.js » qui capture les données soumises dans des formulaires en ligne.

Aussi sournoise que puisse être cette attaque, les pirates dans ce cas n’ont pas fait tout leur possible pour que le domaine hébergeant le script malveillant se confond avec le code environnant. Cependant, de plus en plus, ces scripts d’extraction de données sont cachés derrière des domaines https:// entièrement frauduleux qui sont conçus sur mesure pour donner l’impression qu’ils pourraient être associés à des réseaux de diffusion de contenu (CDN) ou à des scripts Web, et incluent des termes tels que « jquery, » « bootstrap » et « js ».

Publicwww.com est un service en ligne pratique qui vous permet de rechercher sur le Web des sites exécutant des extraits de code spécifique. Recherche de sites sur publicwww.com extraction du code de bootstrap-js-dot-com révèle actuellement plus de 50 sites de commerce électronique ensemencés avec ce script malveillant. Une recherche sur publicwww pour le code malveillant hébergé sur js-react-dot-com indique la présence de ce code sur au moins une dizaine de marchands en ligne.

Parfois, le domaine malveillant créé pour héberger un script de capture de données imite le domaine hôte en faisant référence à un nom de site Web sosie. Par exemple, consultez le code source du site e-commerce bargainjunkie-point-com et vous remarquerez en bas qu’il extrait un script malveillant du domaine « bargalnjunkie-point-com», où le « i » dans « bonne affaire » est sournoisement remplacé par un « L » minuscule.

Dans de nombreux cas, l’exécution d’une recherche inversée pour d’autres noms de domaine où le domaine sosie est hébergé révèle des hôtes compromis supplémentaires ou d’autres méthodes pour les compromettre. Par exemple, le domaine ressemblant bargalnjunkie-dot-com est hébergé à l’adresse 46.161.40.49, qui abrite plusieurs domaines, dont paysselector-point-com et billgetstatus-point-com.

Paysselector-dot-com et billgetstatus-dot-com ont apparemment été enregistrés de sorte qu’ils apparaissent liés aux services de paiement en ligne. Mais ces deux domaines hébergent en fait des scripts malveillants complexes qui sont chargés de manière obscurcie sur un certain nombre de sites Web, y compris le magasin des passionnés de ballet. balletbeautiful-point-com. Fait intéressant, l’adresse Internet hébergeant les domaines paysselector et billgetstatus – le 46.161.40.49 susmentionné – héberge également le domaine sosie « balletbeautlful-dot-com », encore une fois avec le « i » remplacé par un « L » minuscule.

Une recherche « DNS inversé » de l’adresse IP 46.161.40.49, compliments de Farsight Security.

Les scripts malveillants chargés depuis payselector-dot-com et billgetstatus-dot.com sont obscurcis par une fonction HTML personnalisée — fenêtre.atob — qui brouille le code faisant référence à ces noms de domaine sur les sites piratés. Si la présence de « window.atob » dans le code source d’un site Web n’est pas en soi un indicateur de compromission, une recherche de ce code via publicwww.com est révélatrice et un examen plus approfondi suggère qu’il existe actuellement des dizaines de sites compromis de cette manière.

Par exemple, cette recherche pointe vers le domaine de vêtements en ligne evisu-point-comdont la source HTML inclut l’extrait de code suivant :

Si vous coupez et collez le texte charabia qui se trouve entre les citations dans la partie en surbrillance de la capture d’écran ci-dessus dans le site base64decode.netvous verrez ce méli-mélo de texte indésirable décodé en apitstatus-point-comencore un autre domaine douteux conçu sur mesure pour ressembler à une fonction légitime d’un site de commerce électronique ordinaire.

En revisitant le code source du domaine balletbeautiful-dot.com, nous pouvons voir qu’il inclut également ce code « window.atob » suivi d’un texte obscurci. Une copie de ce charabia dans Base64decode.net montre qu’il décode en… vous l’avez deviné : balletbeautlful-dot-com.

Parfois, les produits antivirus détectent la présence de ces scripts malveillants et empêchent les utilisateurs de visiter des sites compromis, mais pour le meilleur ou pour le pire, aucun des sites que j’ai mentionnés ici n’est actuellement signalé comme malveillant par l’un des plus de cinq douzaines d’outils antivirus du fichier. -service de numérisation virustotal.com.

Entreprise de sécurité Symantec fait référence à ces attaques sous le nom de « formjacking », qu’il décrit comme l’utilisation de Javascript malveillant pour voler les détails de la carte de crédit et d’autres informations des formulaires de paiement sur les pages de paiement des sites de commerce électronique. En septembre, Symantec a déclaré avoir bloqué près d’un quart de million d’instances de tentatives de formjacking depuis la mi-août 2018.

Une autre société de sécurité — RiskIQ – a écrit longuement sur ces attaques et a attribué plusieurs compromis récents – y compris le piratage de sites Web pour British Airways et vendeur d’équipement geek Nouvel œuf – à un groupe ou à une méthode de piratage qu’il appelle « Magecart.”

On ne sait pas si les compromis détaillés dans cet article sont liés au travail de ce gang criminel. En tout cas, j’aime la comparaison de RiskIQ entre ces attaques et les écumeurs de guichets automatiques, un type de crime qui fascine depuis des années.

«Traditionnellement, les criminels utilisent des appareils connus sous le nom d’écrémeurs de cartes – des appareils cachés dans les lecteurs de cartes de crédit des distributeurs automatiques de billets, des pompes à carburant et d’autres machines que les gens paient avec des cartes de crédit tous les jours – pour voler les données de carte de crédit que le criminel pourra ensuite collecter et utiliser lui-même. ou vendre à d’autres parties », Yonathan Klijnsma écrit. « Magecart utilise une variété numérique de ces appareils. »

J’aime la comparaison avec l’écrémage, car les commerçants en ligne sont actuellement ciblés de manière importante, précisément à cause des efforts visant à empêcher les voleurs de gagner de l’argent grâce à la fraude impliquant des cartes de débit et de crédit contrefaites. Les États-Unis sont le dernier des pays du G20 à faire la transition vers des cartes de paiement à puce plus sécurisées, et pratiquement tous les autres pays qui ont déjà traversé ce changement ont vu une augmentation marquée de la fraude en ligne en conséquence.

Avis à toute personne responsable de l’administration d’un site Web : Des options sont disponibles pour vous aider à surveiller votre site Web afin de détecter les modifications non autorisées. Des outils comme Tripwire et AIDE peut détecter des fichiers nouveaux ou modifiés, mais bon nombre de ces attaques par détournement de formulaire impliquent l’insertion de code dans des pages Web existantes. Des services d’abonnement comme wewatchyourwebsite.com et chiens de garde peut être plus utile ici.

Au cas où quelqu’un se poserait la question, tous les sites piratés mentionnés ici ont été notifiés. Dans de nombreux cas, les coordonnées des propriétaires de ces sites sont cachées derrière la protection de la vie privée WHOIS, et alerter les victimes via Facebook ou remplir des formulaires de contact ne suscite aucune réponse. Dans d’autres cas, le site alerté a nettoyé une partie de la compromission mais a laissé intacts les principaux éléments malveillants, sans même reconnaître les efforts déployés pour les notifier.

Je me rends compte que ce message est un peu plus technique que la plupart de BreachTrace. J’explique mon processus pour trouver ces sites car il semble y avoir tellement de sites compromis par ces méthodes que le seul moyen possible de les nettoyer rapidement peut être de faire appel à la foule, étant donné que de plus en plus de boutiques en ligne sont nouvellement compromises chaque jour .

J’ai brûlé plusieurs jours cette semaine à la suite des terriers de lapin virtuels creusés par le responsable de cette frénésie criminelle en cours dans le commerce électronique, et il me semble que trouver et alerter toutes les entreprises compromises pourrait occuper toute une équipe de personnes pendant un certain temps. Mais je ne suis qu’un gars, et c’est une tâche ingrate.

BreachTrace tient à remercier @breachmessenger pour leur aide dans la recherche de cette histoire.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *