Les groupes de cybercriminalité distribuent des shells Web PHP malveillants déguisés en favicon pour maintenir l’accès à distance aux serveurs compromis et injecter des skimmers JavaScript dans les plates-formes d’achat en ligne dans le but de voler des informations financières à leurs utilisateurs.

“Ces web shells connus sous le nom de Smilodon ou Megalodon sont utilisés pour charger dynamiquement du code de survol JavaScript via des requêtes côté serveur dans les boutiques en ligne”, Malwarebytes Jérôme Segura mentionné dans un article de jeudi. “Cette technique est intéressante car la plupart des outils de sécurité côté client ne seront pas capables de détecter ou de bloquer l’écumeur.”

L’injection de skimmers Web sur les sites Web de commerce électronique pour voler les détails de la carte de crédit est un modus operandi éprouvé de Magecart, un consortium de différents groupes de hackers qui ciblent les systèmes de panier d’achat en ligne. Aussi connus sous le nom d’attaques de détournement de formulaire, les skimmers prennent la forme de code JavaScript que les opérateurs insèrent furtivement dans un site Web de commerce électronique, souvent sur des pages de paiement, dans le but de capturer les détails de la carte des clients en temps réel et de les transmettre à une télécommande. serveur.

auditeur de mot de passe

Alors que l’injection de skimmers fonctionne généralement en faisant une requête côté client à une ressource JavaScript externe hébergée sur un domaine contrôlé par un attaquant lorsqu’un client visite la boutique en ligne en question, la dernière attaque est un peu différente en ce que le code de skimmer est introduit dans le site marchand de manière dynamique côté serveur.

Le malware du shell Web basé sur PHP se fait passer pour un favicon (“Magento.png”), le malware étant inséré dans des sites compromis en altérant le Icône de raccourci balises dans le code HTML pour pointer vers le faux fichier image PNG. Ce shell Web, à son tour, est configuré pour récupérer la charge utile de la prochaine étape à partir d’un hôte externe, un skimmer de carte de crédit qui partage des similitudes avec une autre variante utilisée dans les attaques Cardbleed en septembre dernier, suggérant que les acteurs de la menace ont modifié leur ensemble d’outils après la divulgation publique.

Malwarebytes a attribué la dernière campagne à Groupe Magecart 12 basé sur chevauchements dans les tactiques, les techniques et les procédures utilisées, en ajoutant “le nom de domaine le plus récent que nous ayons trouvé (zolo[.]pw) se trouve être hébergé sur la même adresse IP (217.12.204[.]185) comme recaptcha-in[.]pw et google-statik[.]pw, domaines précédemment associés à Magecart Group 12. “

Opérant avec l’intention première de capturer et d’exfiltrer les données de paiement, les acteurs de Magecart ont adopté un large éventail de vecteurs d’attaque au cours des derniers mois pour rester sous le radar, éviter la détection et piller les données. De la dissimulation du code de voleur de carte dans les métadonnées d’image et la réalisation d’attaques homographes IDN à l’installation de skimmers Web dissimulés dans le fichier favicon d’un site Web à l’utilisation de Google Analytics et de Telegram comme canal d’exfiltration, le syndicat de la cybercriminalité a intensifié ses efforts pour compromettre les magasins en ligne.

L’écrémage est devenu une pratique si répandue et lucrative que le groupe Lazarus, un collectif de pirates informatiques parrainés par l’État affilié à la Corée du Nord, a attaqué des sites Web qui acceptent les paiements en crypto-monnaie avec des renifleurs JavaScript malveillants pour voler des bitcoins et de l’éther dans une nouvelle campagne appelée “Changeur BTC“qui a commencé au début de l’année dernière.



Leave a Reply