Une nouvelle campagne de piratage par vol de cartes de crédit fait les choses différemment de ce que nous avons vu par le passé en cachant leur code malveillant dans le module de passerelle de paiement « Authorize.net » pour WooCommcerce, permettant à la violation d’échapper à la détection par les analyses de sécurité.
Historiquement, lorsque des pirates piratent un site de commerce comme Magenta ou WordPress exécutant WooCommerce, ils injectent du code JavaScript malveillant dans le code HTML du magasin ou des pages de paiement des clients.
Ces scripts voleront ensuite les informations client saisies lors du paiement, telles que les numéros de carte de crédit, les dates d’expiration, les numéros CVV, les adresses, les numéros de téléphone et les adresses e-mail.
Cependant, de nombreux marchands en ligne travaillent désormais avec des éditeurs de logiciels de sécurité qui analysent le code HTML des sites de commerce électronique destinés au public pour trouver des scripts malveillants, ce qui rend plus difficile pour les acteurs de la menace de rester cachés.
Pour échapper à la détection, les pirates injectent désormais des scripts malveillants directement dans les modules de passerelle de paiement du site utilisés pour traiter les paiements par carte de crédit à la caisse. Comme ces extensions ne sont généralement appelées qu’après qu’un utilisateur a soumis les détails de sa carte de crédit et effectué son paiement en magasin, il peut être plus difficile de les détecter par les solutions de cybersécurité.
La campagne a été découverte par des experts en sécurité de sites Web de Sucuri après avoir été appelés pour enquêter sur une infection inhabituelle sur l’un des systèmes de leurs clients.
Cibler les passerelles de paiement
WooCommerce est une plate-forme de commerce électronique populaire pour WordPress utilisée par environ 40 % de tous les magasins en ligne.
Pour accepter les cartes de crédit sur le site, les magasins utilisent un système de traitement des paiements, tel que Authorize.net, un processeur populaire utilisé par 440 000 marchands dans le monde. Sur le site compromis, Sucuri a découvert que des pirates avaient modifié le fichier « class-wc-authorize-net-cim.php », l’un des fichiers d’Authorize.net prenant en charge l’intégration de la passerelle de paiement aux environnements WooCommerce.
Le code injecté en bas du fichier vérifie si le corps de la requête HTTP contient la chaîne « wc-authorize-net-cim-credit-card-account-number », ce qui signifie qu’il contient des données de paiement après qu’un utilisateur a vérifié son panier sur le magasin. Si c’est le cas, le code génère un mot de passe aléatoire, crypte les détails de paiement de la victime avec AES-128-CBC et les stocke dans un fichier image que les attaquants récupèrent plus tard.
Une deuxième injection effectuée par les attaquants se trouve sur « wc-authorize-net-cim.min.js », également un fichier Authorize.net.
Le code injecté capture des détails de paiement supplémentaires à partir d’éléments de formulaire de saisie sur le site Web infecté, dans le but d’intercepter le nom, l’adresse de livraison, le numéro de téléphone et le code postal de la victime.
Éviter la détection
Un autre aspect notable de cette campagne est la furtivité du skimmer et de ses fonctions, qui le rendent particulièrement difficile à découvrir et à déraciner, entraînant de longues périodes d’exfiltration de données.
Tout d’abord, le code malveillant a été injecté dans des fichiers de passerelle de paiement légitimes, de sorte que des inspections régulières qui analysent le code HTML public des sites Web ou recherchent des ajouts de fichiers suspects ne donneraient aucun résultat.
Deuxièmement, enregistrer les détails d’une carte de crédit volée sur un fichier image n’est pas une nouvelle tactique, mais un cryptage fort est un nouvel élément qui aide les attaquants à échapper à la détection.
Dans le passé, les acteurs de la menace stockaient les données volées sous forme de texte en clair, utilisaient un codage base64 faible ou transféraient simplement les informations volées aux attaquants lors du paiement.
Troisièmement, les acteurs de la menace abusent de l’API Heartbeat de WordPress pour émuler le trafic régulier et le mélanger avec les données de paiement des victimes lors de l’exfiltration, ce qui les aide à échapper à la détection des outils de sécurité surveillant l’exfiltration de données non autorisée.
Alors que les acteurs de MageCart font évoluer leurs tactiques et ciblent de plus en plus les sites WooCommerce et WordPress, il est essentiel que les propriétaires et les administrateurs de sites Web restent vigilants et appliquent des mesures de sécurité solides.
Cette récente campagne découverte par Sukuri met en évidence la sophistication croissante des attaques d’écrémage de cartes de crédit et l’ingéniosité des attaquants pour contourner la sécurité.