Une nouvelle campagne de vol de cartes de crédit Magecart détourne des sites légitimes pour agir comme des serveurs de commande et de contrôle (C2) « de fortune » pour injecter et masquer les skimmers sur des sites de commerce électronique ciblés.
Une attaque Magecart se produit lorsque des pirates pénètrent dans des magasins en ligne pour injecter des scripts malveillants qui volent les cartes de crédit et les informations personnelles des clients lors du paiement.
Selon les chercheurs d’Akamai qui surveillent cette campagne, celle-ci a compromis des organisations aux États-Unis, au Royaume-Uni, en Australie, au Brésil, au Pérou et en Estonie.
La société de cybersécurité souligne également que de nombreuses victimes n’ont pas réalisé qu’elles avaient été violées depuis plus d’un mois, ce qui témoigne de la furtivité de ces attaques.
Abus de sites légitimes
La première étape des attaquants consiste à identifier les sites légitimes vulnérables et à les pirater pour héberger leur code malveillant, en les utilisant comme serveurs C2 pour leurs attaques.
En distribuant les écumeurs de cartes de crédit à l’aide de sites Web légitimes jouissant d’une bonne réputation, les acteurs de la menace échappent à la détection et aux blocages et sont libérés de la nécessité de mettre en place leur propre infrastructure.
Ensuite, les attaquants injectent un petit extrait de code JavaScript dans les sites commerciaux cibles qui récupère le code malveillant des sites Web précédemment compromis.
« Bien qu’il ne soit pas clair comment ces sites sont piratés, sur la base de nos recherches récentes sur des campagnes similaires précédentes, les attaquants recherchent généralement des vulnérabilités dans la plate-forme de commerce numérique des sites Web ciblés (telles que Magento, WooCommerce, WordPress, Shopify, etc. .) ou dans des services tiers vulnérables utilisés par le site Web », explique Akamai dans le rapport.
Pour ajouter à la furtivité de l’attaque, les acteurs de la menace ont obscurci le skimmer avec l’encodage Base64, qui masque également l’URL de l’hôte, et a construit sa structure d’une manière qui ressemble à celle de Google Tag Manager ou de Facebook Pixel, qui sont des services tiers populaires. peu susceptible d’éveiller les soupçons.
Détails du vol de données
Akamai rapporte avoir vu deux variantes du skimmer utilisées dans la campagne en question.
La première est une version fortement obscurcie contenant une liste de sélecteurs CSS qui ciblent les informations personnelles des clients et les détails de la carte de crédit. Les sélecteurs CSS étaient différents pour chaque site ciblé, faits sur mesure pour correspondre à chaque victime.
La deuxième variante de skimmer n’était pas aussi bien protégée, exposant des indicateurs dans le code qui ont aidé Akamai à cartographier la portée de la campagne et à identifier d’autres victimes.
Une fois que les écumeurs ont volé les détails des clients, les données sont définies sur le serveur de l’attaquant via une requête HTTP créée en tant que balise IMG dans l’écumeur.
Une couche d’encodage Base64 est appliquée aux données pour obscurcir la transmission et minimiser la probabilité que la victime découvre la violation.
Les propriétaires de sites Web peuvent se défendre contre les infections Magecart en protégeant de manière appropriée les comptes d’administrateur de site Web et en appliquant des mises à jour de sécurité pour leur CMS et leurs plug-ins.
Les clients des boutiques en ligne peuvent minimiser le risque d’exposition des données en utilisant des méthodes de paiement électroniques, des cartes virtuelles ou en fixant des limites de débit à leurs cartes de crédit.