Les vendeurs en ligne sont ciblés dans une nouvelle campagne visant à pousser le malware de vol d’informations Vidar, permettant aux acteurs de la menace de voler des informations d’identification pour des attaques plus dommageables.
La nouvelle campagne a été lancée cette semaine, les acteurs de la menace envoyant des plaintes aux administrateurs de la boutique en ligne via des formulaires de contact par e-mail et site Web.
Ces e-mails prétendent provenir d’un client d’une boutique en ligne qui s’est vu déduire 550 $ de son compte bancaire après qu’une prétendue commande n’ait pas été correctement passée.
Breachtrace a reçu l’un de ces e-mails cette semaine et, après avoir étudié l’attaque, l’a trouvée répandue avec de nombreuses soumissions à VirusTotal au cours de la semaine dernière.
Cibler les vendeurs en ligne
Les vendeurs en ligne sont une cible juteuse pour les acteurs de la menace, car l’obtention d’informations d’identification sur le backend des sites de commerce électronique permet divers types d’attaques.
Par exemple, une fois qu’un pirate a accès au backend d’administration d’une boutique en ligne, il peut injecter des scripts JavaScript malveillants pour effectuer des attaques MageCart, c’est-à-dire lorsque le code vole les cartes de crédit et les informations personnelles des clients lors du paiement.
L’accès backend peut également être utilisé pour voler les informations client d’un site en générant des sauvegardes pour la base de données du magasin, qui peuvent être utilisées pour extorquer les victimes, menaçant qu’elles doivent payer une rançon ou que les données seraient divulguées publiquement ou vendues à d’autres acteurs de la menace.
Plus tôt cette semaine, Breachtrace a reçu un e-mail prétendant provenir d’un client qui a été facturé 550 $, même si une commande n’a pas été correctement passée, ce qui est affiché ci-dessous.
« Je vous écris pour vous faire part de ma profonde inquiétude et de ma déception concernant une récente transaction que j’ai effectuée sur votre site Web.
Le 14 mai 2023, j’ai acheté des articles d’une valeur supérieure à 550 $ dans votre boutique.
Cependant, un problème substantiel est apparu et nécessite votre attention immédiate.
Juste après avoir terminé l’achat, j’ai rencontré un signal d’erreur sur votre page Web, indiquant qu’il n’était pas en mesure d’effectuer le paiement et qu’aucune somme n’a été prélevée sur ma carte bancaire.
À ma grande surprise, en examinant mon compte bancaire, j’ai découvert que le paiement avait bien été exécuté et que le même montant avait été retiré.
Je vous exhorte à traiter ce problème avec le maximum d’urgence et à résoudre le problème rapidement.
Il est essentiel que vous analysiez la cause de cet écart et que vous preniez des mesures immédiates pour restituer le montant d’argent soustrait.
Pour votre examen et comme preuve d’achat, j’ai fourni une copie de mon relevé bancaire ci-dessous, qui affiche évidemment le retrait des fonds.
Cela devrait servir de preuve définitive du paiement et souligner l’urgence du remboursement complet.
J’apprécierai sincèrement vos actions immédiates.
Voici le lien hypertexte vers mon relevé https://bit.ly/xxxx »
Ci-joint dans l’e-mail ci-dessus se trouve un lien bit.ly vers le relevé bancaire présumé, raccourci pour masquer le lien d’origine.
L’e-mail est écrit pour donner un sentiment d’urgence, exigeant que le détaillant émette un remboursement et enquête sur la cause profonde du problème.
En cliquant sur l’URL, les cibles verront apparaître un site Web qui prétend être Google Drive. Dans les tests de Breachtrace, ce faux Google Drive affichera un relevé bancaire ou invitera l’utilisateur à télécharger le relevé bancaire.
Les domaines supposés être associés à cette campagne sont :
http://bank.verified-docs.org[.]za/
http://chase.sign-docs.org[.]za/
http://documents.cert-docs.net[.]za/
http://documents.verified-docs[.]com/
https://bank.cert-docs.net[.]za
https://bank.my-sign-docs[.]com
https://bank.sign-documents[.]net.za
https://bank.sign-documents[.]org.za
https://bank.verified-docs[.]net.za
https://bank.verified-docs[.]org.za
https://bank.verified-docs[.]site
https://chase.cert-docs.co[.]za
https://chase.my-sign-docs[.]org
https://chase.sign-docs.net[.]za
https://chase.sign-docs.org[.]za
https://chase.sign-documents.co[.]za
https://chase.sign-documents.org[.]za
https://documents.cert-docs.co[.]za
https://documents.my-sign-docs[.]org
https://documents.sign-docs.co[.]za
https://documents.verified-docs.org[.]za
https://sign-documents.net[.]za/
https://statements.my-sign-docs.net[.]za/
https://statements.sign-docs.co[.]za/
https://statements.sign-documents.co[.]za/
https://statements.sign-documents.net[.]za/
https://statements.sign-documents.org[.]za/
https://statements.verified-docs.org[.]za/
https://verified-docs[.]com/
Si le site affiche le relevé bancaire, il affiche un exemple de relevé bancaire de Commerce Bank qui utilise des données d’exemple, telles que le nom du client « Jane Customer » chez « Anywhere Dr. »
Cependant, d’autres tests afficheraient une fausse page Google Drive indiquant qu’un aperçu n’est pas disponible et invite l’utilisateur à télécharger le « Bank_statement.pdf ». Cependant, cela téléchargera en fait un exécutable nommé ‘bank_statement.scr’.
Alors que les fournisseurs d’antivirus sur VirusTotal ne le détectent que comme un voleur d’informations générique, Recorded Future’s Triage l’a détecté comme le malware Vidar voleur d’informations.
Vidar est un cheval de Troie voleur d’informations qui peut voler les cookies du navigateur, l’historique du navigateur, les mots de passe enregistrés, les portefeuilles de crypto-monnaie, les fichiers texte, les bases de données Authy 2FA et les captures d’écran de l’écran Windows actif.
Ces informations seront ensuite téléchargées sur un serveur distant afin que les attaquants puissent les collecter. Après l’envoi des données, la collection de fichiers sera supprimée de la machine infectée, laissant derrière elle un répertoire plein de dossiers vides.
Une fois que les acteurs de la menace reçoivent les informations volées, ils vendent les informations d’identification à d’autres acteurs de la menace ou les utilisent pour violer les comptes utilisés par la victime.
Si vous avez reçu des e-mails similaires et que vous pensez avoir été touché par cette campagne de distribution de logiciels malveillants, il est essentiel que vous analysiez immédiatement votre ordinateur à la recherche de logiciels malveillants et que vous supprimiez tout ce qui est trouvé.
Pour éviter de nouvelles attaques, vous devez modifier votre mot de passe sur tous vos comptes, en particulier ceux associés à vos sites de commerce en ligne, vos comptes bancaires et vos adresses e-mail.
Enfin, examinez attentivement votre site de commerce électronique pour vérifier le code source injecté dans les modèles HTML, les nouveaux comptes avec des privilèges élevés ou les modifications apportées au code source du site.