Les acteurs de la cybercriminalité faisant partie du groupe Magecart se sont accrochés à une nouvelle technique d’obscurcissement du code malveillant à l’intérieur blocs de commentaires et encoder les données de carte de crédit volées dans des images et d’autres fichiers hébergés sur le serveur, démontrant une fois de plus comment les attaquants améliorent continuellement leurs chaînes d’infection pour échapper à la détection.
« Une tactique utilisée par certains acteurs de Magecart est le vidage des détails de carte de crédit glissés dans des fichiers image sur le serveur [to] éviter d’éveiller les soupçons », analyste de la sécurité Sucuri, Ben Martin, mentionné dans une rédaction. « Ceux-ci peuvent être téléchargés ultérieurement à l’aide d’un simple OBTENIR la demande à une date ultérieure. »
MageCart est le terme générique donné à plusieurs groupes de cybercriminels ciblant les sites Web de commerce électronique dans le but de piller les numéros de carte de crédit en injectant des écumeurs JavaScript malveillants et en les vendant sur le marché noir.
Sucuri a attribué l’attaque à Magecart Groupe 7 sur la base des chevauchements dans les tactiques, techniques et procédures (TTP) adoptées par l’acteur menaçant.
Dans un cas d’infection d’un site Web de commerce électronique Magento enquêté par la société de sécurité appartenant à GoDaddy, il a été constaté que le skimmer avait été inséré dans l’un des fichiers PHP impliqués dans le processus de paiement sous la forme d’un Encodé en Base64 comprimé chaîne.
De plus, pour masquer davantage la présence de code malveillant dans le fichier PHP, les adversaires auraient utilisé une technique appelée concaténation dans laquelle le code était combiné à des morceaux de commentaires supplémentaires qui « ne font rien fonctionnellement mais ajoutent une couche d’obscurcissement le rendant un peu plus difficile à détecter. »
En fin de compte, le but des attaques est de capturer les détails de la carte de paiement des clients en temps réel sur le site Web compromis, qui sont ensuite enregistrés dans un faux fichier de feuille de style (.CSS) sur le serveur et téléchargés par la suite à la fin de l’acteur de la menace par faire une requête GET.
« MageCart est une menace toujours croissante pour les sites Web de commerce électronique », a déclaré Martin. « Du point de vue des attaquants : les récompenses sont trop importantes et les conséquences inexistantes, pourquoi ne le feraient-ils pas ? Des fortunes sont littéralement faites [by] voler et vendre des cartes de crédit volées sur le marché noir.