vol de carte

Scripts de vol de carte bleu prétendent être Google Analytics, Angular

Une panoplie de scripts de vol de carte de crédit a été découverte sur le web. Le code est injecté dans les sites et prétend être du code Google Analytics ou Angular pour ne pas se faire repérer par le webmaster.

Selon les recherches de Sucuri, le code malveillant est injecté dans des fichiers JavaScript légitimes, principalement sur les sites conçus avec Magento.

Cette campagne a un niveau élevé de customisation, avec “une approche individualisée mais très constante pour chaque compromis,” ont expliqué les chercheurs. “Chaque site a son propre ensemble de scripts injectés, sites compromis, variables trompeuses, noms de fichiers et variations uniques d’offuscation.”

Ils ont ajouté, “En même temps, à chaque niveau, ils essaient de donner l’impression qu’ils font quelque chose d’utile, lié à Google Analytics ou au suivi de conversions de Magento, ou de prétendre qu’ils sont conçus avec une framework JavaScript réputée.”

Pour certains sites, “le code offusqué charge un autre script de www.google-analytics[.]cm/analytics.js. L’URL semble très similaire au vrai Google Analytics – www.google-analytics.com/analytics.js – mais contient .cm en top-level domaine à la place de .com”. “Si quelqu’un jette un coup d’oeil au script, ils verront le code offusqué qui essaye de se faire passé pour GoogleAnalytics.”

Sur d’autres sites compromis, le code se fait passer pour du code Angular; Angular est la framework de Google pour le développement web. Près de 40 sites hébergeaient ces faux scripts, selon Sucuri.

“Le code contient beaucoup de mots clés qui semblent important pour cette framework JavaScript très populaire, tels que Angular.io, algularToken, angularCdn et angularPages,” selon le post. “Cependant, une analyse plus profonde montre que angularCdn est une URL cryptée, alglularToken (notez la faute de frappe) est une clé de décryptage et le reste du code sont des fonctions qui décodent l’URL et charge dynamiquement un script à partir de celle-ci.”

Cette URL, hxxps://www.gooqletagmanager[.]com/gtm.js., ressemble aussi à l’URL d’un service légitime; cette fois-ci c’est le service Google Tag Manager. Le seul changement est que la lettre “Q” remplace le second “G” dans “google”.

“Ces faux scripts Angular sont injectés dans la base de données Magento et peuvent être trouvé dans le code HTML des pages web compromises d’un site Magento,” ont expliqué les chercheurs. “Dans la plupart des cas, ils ne sont pas formatés aussi bien que les autres trouvailles et occupe juste une longue ligne de code. Chaque site a sa propre version du script, avec des clés de décryptage différentes et des URLs encodées. Il faut aussi noté que la majorité de ces balises <script> ont diverses références trompeuses liées à google/analytics/magento/conversions.”

Les sites infectés par ce code ne sont pas limités à Magento, a ajouté Sucuri: les sites  WordPress, Joomla et Bitrix sont aussi impactés. En tout cas, ces scripts récoltent les informations de cartes bleues sur les pages de paiement des sites d’e-commerce.

Les administrateurs de sites internet devraient garder l’œil ouvert pour repérer l’addition de code sur leurs sites et protéger leurs clients contre ce genre d’attaque.

“Même si vous ne comprenez pas ce que fait le code, vous vous doutez de sa nature malveillante si il n’a pas été ajouté par quelqu’un qui était responsable de la maintenance du site,” a conclu Sucuri.

Laisser un commentaire