Les pirates informatiques détournent les magasins en ligne pour afficher de faux formulaires de paiement modernes et réalistes afin de voler les cartes de crédit de clients sans méfiance.
Ces formulaires de paiement sont affichés sous la forme d’un contenu HTML modal superposé au-dessus de la page Web principale, permettant à l’utilisateur d’interagir avec les formulaires de connexion ou le contenu de notification sans quitter la page.
Lorsque les modaux sont actifs, le contenu d’arrière-plan est parfois estompé ou flou pour attirer l’attention sur le contenu modal.
Dans un nouveau rapport de Malwarebytes, les écumeurs MageCart détournent maintenant les pages de paiement légitimes des magasins en ligne pour montrer leurs propres faux formulaires de paiement comme modaux pour voler les cartes de crédit des clients.
Ces modaux se distinguent car ils ont parfois une apparence encore meilleure que l’original, n’ayant aucun signe visuel qui pourrait faire soupçonner qu’ils ne sont pas réels.
Mieux que la vraie chose
Un cas mis en évidence dans le rapport de Malwarebytes concerne un magasin d’accessoires de voyage parisien basé sur PrestaShop compromis par la nouvelle campagne Kritec.
Kritec est un écumeur de cartes de crédit JavaScript que Malwarebytes a détecté pour la première fois sur les magasins Magento en mars 2022, donc le même acteur de la menace est probablement derrière.
Malwarebytes rapporte que le skimmer qui a infecté la page est plutôt complexe et que son code est fortement obscurci par l’encodage base64.
En atteignant la page de paiement du site infecté, au lieu de voir le formulaire de paiement du site, le script malveillant affiche un modal qui présente le logo de la marque, la langue correcte (français) et des éléments d’interface élégants.
Cependant, ce faux formulaire de paiement est conçu pour voler les informations de carte de crédit des clients et les renvoyer aux pirates.
Une fois que les acheteurs ont entré leurs coordonnées sur le modal, il affiche momentanément un faux chargeur, puis affiche une fausse erreur, redirigeant l’utilisateur vers la véritable URL de paiement.
Cependant, en arrière-plan, les acteurs de la menace ont déjà volé tous les détails saisis, y compris le numéro de carte de crédit, la date d’expiration, le numéro CVV et le nom du titulaire de la carte.
De plus, le skimmer dépose un cookie sur les utilisateurs qui ont été ciblés avec succès pour empêcher le chargement du modal malveillant à nouveau sur le même site ou sur un autre. Cela permet d’éviter de collecter des données en double et de minimiser l’exposition de l’opération.
Les analystes de Malwarebytes ont bloqué le script d’écumeur de carte de crédit pour permettre le chargement du formulaire de paiement d’origine, et la comparaison entre les deux laisse l’authentique défait esthétiquement.
La page de paiement proprement dite redirige les visiteurs vers un processeur tiers, et une fois les informations bancaires saisies, le client revient sur la page de la boutique.
Si une redirection vers un site externe est une étape typique des paiements en ligne, elle inspire moins confiance au visiteur que le formulaire modal rendu directement sur la page.
Malheureusement, Malwarebytes a observé des preuves que la tendance à utiliser des formulaires modaux gagne du terrain dans la communauté de la cybercriminalité Magecart.
D’autres exemples de sites Web proposant de faux modes de paiement aux visiteurs incluent un site de commerce électronique néerlandais et finlandais, tous deux présentant un design élégant qui les aide à passer pour authentiques.
« Il est possible que plusieurs acteurs de la menace soient impliqués dans ces campagnes et personnalisent les skimmers en conséquence », indique le rapport.
« Alors que de nombreux magasins piratés avaient un skimmer générique, il semble que les modaux personnalisés aient été développés assez récemment, il y a peut-être un mois ou deux. »
Les acheteurs en ligne doivent être très vigilants et préférer les méthodes de paiement électroniques ou les cartes privées à usage unique avec des limites de charge inutiles aux mains des cybercriminels.