Les chercheurs ont rapporté lundi que les pirates informatiques exploitent désormais le service Google Analytics pour piller furtivement les informations de carte de crédit à partir de sites de commerce électronique infectés.
Selon plusieurs rapports indépendants de PérimètreX, Kaspersky, et Sansec, les acteurs de la menace injectent désormais du code de vol de données sur les sites Web compromis en combinaison avec le code de suivi généré par Google Analytics pour leur propre compte, ce qui leur permet d’exfiltrer les informations de paiement saisies par les utilisateurs même dans des conditions où les politiques de sécurité du contenu sont appliquées pour une sécurité Web maximale.
« Les attaquants ont injecté du code malveillant dans des sites, qui ont collecté toutes les données saisies par les utilisateurs, puis les ont transmises via Analytics », a déclaré Kaspersky dans un rapport publié hier. « En conséquence, les attaquants pourraient accéder aux données volées dans leur compte Google Analytics. »
La firme de cybersécurité a déclaré avoir trouvé environ deux douzaines de sites Web infectés en Europe et en Amérique du Nord et du Sud spécialisés dans la vente d’équipements numériques, de cosmétiques, de produits alimentaires et de pièces détachées.
Contournement de la politique de sécurité du contenu
L’attaque repose sur la prémisse que les sites Web de commerce électronique utilisant le service d’analyse Web de Google pour suivre les visiteurs ont mis en liste blanche les domaines associés dans leur politique de sécurité du contenu (CSP).
CSP est un mesure de sécurité supplémentaire qui aide à détecter et à atténuer les menaces résultant de script intersite vulnérabilités et autres formes d’attaques par injection de code, y compris celles adoptées par divers groupes Magecart.
La fonction de sécurité permet aux webmasters de définir un ensemble de domaines avec lesquels le navigateur Web devrait être autorisé à interagir pour une URL spécifique, empêchant ainsi l’exécution de code non fiable.
« La source du problème est que le système de règles CSP n’est pas assez granulaire », a déclaré le vice-président de la recherche de PerimeterX, Amir Shaked. « La reconnaissance et l’arrêt de la demande JavaScript malveillante ci-dessus nécessitent des solutions de visibilité avancées qui peuvent détecter l’accès et l’exfiltration des données utilisateur sensibles (dans ce cas, l’adresse e-mail et le mot de passe de l’utilisateur). »
Pour collecter des données à l’aide de cette technique, tout ce qui est nécessaire est un petit morceau de code JavaScript qui transmet les détails collectés tels que les informations d’identification et les informations de paiement via un événement et d’autres paramètres que Google Analytics utilise pour identifier de manière unique les différentes actions effectuées sur un site.
« Les administrateurs écrivent * .google-analytics.com dans l’en-tête Content-Security-Policy (utilisé pour répertorier les ressources à partir desquelles le code tiers peut être téléchargé), permettant au service de collecter des données. De plus, l’attaque peut être mise en œuvre sans télécharger du code à partir de sources externes « , a noté Kaspersky.
Pour rendre les attaques plus secrètes, les attaquants vérifient également si le mode développeur – une fonctionnalité qui est souvent utilisée pour détecter les demandes réseau et les erreurs de sécurité, entre autres – est activé dans le navigateur du visiteur, et ne procède que si le résultat de cette vérification est négatif .
Une campagne « nouvelle » depuis mars
Dans un rapport séparé publié hier, Basec, basé aux Pays-Bas, qui suit les attaques d’écrémage numérique, a découvert une campagne similaire depuis le 17 mars qui a livré le code malveillant sur plusieurs magasins à l’aide d’un code JavaScript hébergé sur Firebase de Google.
Pour l’obscurcissement, l’acteur derrière l’opération a créé un iFrame temporaire pour charger un compte Google Analytics contrôlé par l’attaquant. Les données de carte de crédit saisies sur les formulaires de paiement sont ensuite cryptées et envoyées à la console d’analyse d’où elles sont récupérées à l’aide de la clé de cryptage utilisée précédemment.
Compte tenu de l’utilisation généralisée de Google Analytics dans ces attaques, les contre-mesures comme CSP ne fonctionneront pas si les attaquants profitent d’un domaine déjà autorisé pour détourner des informations sensibles.
« Une solution possible proviendrait des URL adaptatives, ajoutant l’ID en tant que partie de l’URL ou du sous-domaine pour permettre aux administrateurs de définir des règles CSP qui restreignent l’exfiltration des données vers d’autres comptes », a conclu Shaked.
« Une orientation future plus granulaire pour renforcer l’orientation du CSP à considérer dans le cadre de la norme CSP est Proxy XHR mise en vigueur. Cela créera essentiellement un WAF côté client qui peut appliquer une politique sur l’endroit où le champ de données spécifique[s] sont autorisés à être transmis. «
En tant que client, malheureusement, vous ne pouvez pas faire grand-chose pour vous protéger contre les attaques par détournement de formulaire. L’activation du mode développeur dans les navigateurs peut vous aider lors de vos achats en ligne.
Mais il est essentiel de faire attention à tout cas d’achat non autorisé ou de vol d’identité.
