Les hackers de Magecart cachent les portes dérobées PHP dans les favicons

Les groupes de cybercriminels Magecart distribuent des shells Web PHP malveillants déguisés en favicon pour maintenir l’accès à distance aux serveurs compromis et injecter des skimmers JavaScript dans les plates-formes d’achat en ligne dans le but de dérober des informations financières à leurs utilisateurs.

« Ces shells Web connus sous le nom de Smilodon ou Megalodon sont utilisés pour charger dynamiquement du code JavaScript via des requêtes côté serveur dans les magasins en ligne », a déclaré Jérôme Segura de MalwareBytes dans un article. « Cette technique est intéressante car la plupart des outils de sécurité côté client ne seront pas capables de détecter ou de bloquer le skimmer. »

L’injection de skimmers Web sur les sites de commerce électronique pour voler les détails de la carte de crédit est un modus operandi habituel de Magecart, un consortium de différents groupes de hackers qui ciblent les systèmes d’achat en ligne. Aussi connus sous le nom d’attaques de détournement de formulaire, les skimmers prennent la forme de code JavaScript que les opérateurs insèrent furtivement dans un site Web de commerce électronique, souvent sur des pages de paiement, dans le but de capturer les détails de la carte des clients en temps réel et de les transmettre à un serveur distant.

magecart

Alors que l’injection de skimmers fonctionne généralement en faisant une requête côté client à une ressource JavaScript externe hébergée sur un domaine contrôlé par un attaquant lorsqu’un client visite la boutique en ligne en question, la dernière attaque est un peu différente car le code de skimmer est introduit dans le site marchand de manière dynamique côté serveur.

magecart

Le logiciel malveillant du shell Web basé sur PHP se fait passer pour un favicon (« Magento.png »), le logiciel malveillant étant inséré dans des sites compromis en altérant les balises d’icône de raccourci dans le code HTML pour pointer vers le faux fichier d’image PNG. Ce shell Web, à son tour, est configuré pour récupérer la charge utile de la prochaine étape à partir d’un hôte externe, un skimmer de carte de crédit qui partage des similitudes avec une autre variante utilisée dans les attaques Cardbleed en septembre dernier, suggérant que les pirates informatique ont modifié leur ensemble d’outils après la divulgation publique.

magecart

Malwarebytes a attribué la dernière campagne à Magecart Group 12 en se basant sur les chevauchements dans les tactiques, les techniques et les procédures employées, ajoutant « le dernier nom de domaine que nous avons trouvé (zolo[.]pw) se trouve être hébergé sur la même adresse IP (217.12.204[.]185) comme recaptcha-in[.]pw et google-statik[.]pw, domaines précédemment associés à Magecart Group 12. « 

Opérant avec l’intention première de capturer et d’exfiltrer les données de paiement, les hackers de Magecart ont adopté un large éventail de vecteurs d’attaque au cours des derniers mois pour rester sous le radar, éviter la détection et piller les données. De la dissimulation du code de vol de carte dans les métadonnées d’image et la réalisation d’attaques homographes IDN à l’installation de skimmers Web dissimulés dans le fichier favicon d’un site Web à l’utilisation de Google Analytics et de Telegram comme canal d’exfiltration, le syndicat de cybercriminels a intensifié ses efforts pour compromettre les magasins en ligne.

Cette technique de skimming est devenu une pratique si répandue et lucrative que le groupe Lazarus, un collectif de pirates informatiques parrainés par l’État affilié à la Corée du Nord, a attaqué des sites Web qui acceptent les paiements de crypto-monnaie avec des sniffers JavaScript malveillants pour voler des bitcoins dans une nouvelle campagne appelée «BTC Changer» qui a commencé au début de l’année dernière.

Vous pourriez aussi aimer
Laisser un commentaire