adverline

Adverline: Magecart frappe de nouveau

Magecart, l’un des groupes de pirates les plus connus, a encore frappé. Ils se spécialisent dans le vol d’informations bancaires sur les sites d’e-commerce mal sécurisés.

Selon les chercheurs de RiskIQ et Trend Micro, des cybercriminels appartenant à un nouveau sous-groupe de Magecart, et qui se font appelés “Magecart Group 12,” ont réussi à compromettre près de 277 sites d’e-commerce en utilisant une attaque de chaîne d’approvisionnement.

Magecart est le même groupe qui avait mené des attaques l’année dernière contre Ticketmaster, British Airways et Newegg.

Leur méthode habituel est de compromettre des sites d’e-commerce en insérant du code JavaScript dans les pages check-out par lesquelles transitent les informations de paiement des clients. Ils envoient ensuite les données bancaires vers un serveur distant qui leur appartient.

Nouvelle Méthode du groupe Magecart ciblant Adverline

Cependant, les chercheurs des deux firmes ont révélé que la méthode a été différente cette fois-ci. Au lieu de compromettre les sites ciblés directement, Magecart Group 12 a inséré du code dans la librairie Javascript d’un tiers-parti (partenaire publicitaire). Tout les sites qui utilisent ce partenaire publicitaire ont donc téléchargé ce code.

magecart hacking group

Le tiers-parti ciblé était Adverline, une entreprise française spécialisée dans la monétisation d’audience sur Internet. Leur service est utilisé par des centaines de sites d’e-commerce Européens pour afficher des campagnes publicitaires.

L’un des chercheurs de RiskIQ, Yonathan Klijnsma, a découvert que le code de MageCart Group 12 se protège des analyses antivirus en faisant des contrôles d’intégrité sur lui-même.

Magecart Group 12 utilise deux scripts. Le premier script est pour l’anti-reversing alors que le second script est le code frauduleux principal.

Après l’infection, le code frauduleux vérifie si il se trouve bien sur la bonne page en cherchant des chaînes de caractères dans l’URL comme ‘checkout,’ ‘billing,’ ‘purchase,’ ‘panier,’ et ‘kasse,’ qui veut dire ‘caisse’ en Allemand.

magecart hacking group

Si l’un de ces mots est détecté dans l’URL, le script se lance et enregistre le formulaire ainsi que les valeurs entrées par l’utilisateur.

Les données volées sont ensuite stockées dans le JavaScript LocalStorage avec le nom ‘Cache’ et encodé en Base64. Pour différencier les données des victimes, le code génère un nombre enregistré sous un nom clé “E-tag”. Ces données sont ensuite envoyées sur un serveur distant via une requête HTTP POST.

Après avoir été contacté, Adverline a patché le problème immédiatement et supprimé le code malveillant de sa librairie JavaScript.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de