En un mot: Magecart a encore frappé, et les sites de commerce électronique sont cette fois-ci dans un terrible pétrin. Les groupes de piratage ont frappé les entreprises en ligne avec des logiciels malveillants destinés à parcourir les informations sur les transactions des clients, ce qui n’est pas nouveau. Ce qui est nouveau, c’est que le code malveillant a également ouvert au moins 19 portes dérobées dans les magasins afin que si les administrateurs le suppriment, les pirates puissent rapidement revenir sur le site.
Les chercheurs en sécurité de Sansec disent qu’ils découvert que plus de 500 boutiques en ligne exécutant la plateforme de commerce électronique Magento 1 ont été compromises en janvier. Les pirates ont utilisé une combinaison d’injection SQL (SQLi) et d’injection d’objet PHP (POI) pour prendre le contrôle de la plate-forme Magento. Ensuite, un domaine appelé « naturalfreshmall » a servi le malware aux sites désormais vulnérables.
« Le skimmer Natural Fresh affiche une fausse fenêtre de paiement, déjouant la sécurité d’un formulaire de paiement hébergé (conforme à la norme PCI) », a tweeté Sansec. « Les paiements sont envoyés à https://naturalfreshmall[.]com/paiement/Paiement.php. »
L’écumoire Natural Fresh affiche une fausse fenêtre de paiement, déjouant la sécurité d’un formulaire de paiement hébergé (conforme à la norme PCI). Les paiements sont envoyés à https://naturalfreshmall[.]com/paiement/Paiement.php #masshack
— Sansec (@sansecio) 26 janvier 2022
Avec le contrôle de Magento, en particulier, un plugin appelé « Quickview », Magecart a exécuté une attaque de type « man-in-the-middle ». Un logiciel malveillant se présentant comme une fenêtre contextuelle de paiement a écrémé les données de transaction et les a envoyées aux serveurs contrôlés par Magecart.
De plus, la charge utile malveillante contenait des fichiers qui ont créé au moins 19 portes dérobées vers les sites Web. La suppression du logiciel malveillant n’est donc pas une atténuation efficace. Les administrateurs doivent d’abord identifier et supprimer toutes les portes dérobées, puis corriger le CMS compromis.
Sansec affirme que la vulnérabilité réside dans une version dépréciée du logiciel Magento 1 à partir de 2020. Pour corriger leurs plateformes de paiement, les administrateurs doivent mettre à niveau vers la dernière version d’Adobe Commerce ou utiliser les correctifs Magento 1 qu’ils peuvent télécharger à partir du Projet OpenMage.
