Les pirates cachent les données de cartes de paiement dans des fichiers jpg

0

Les pirates ont mis au point une méthode sournoise pour dérober les données des cartes de paiement dans les magasins en ligne compromis qui réduit l’empreinte de trafic suspect et les aide à échapper à la détection.

Au lieu d’envoyer les informations de la carte à un serveur qu’ils contrôlent, les pirates les cachent dans une image JPG et les stockent sur le site web infecté.

Une extraction facile de données

Des chercheurs de la société de sécurité Sucuri ont trouvé la nouvelle technique d’exfiltration lors d’une enquête sur une boutique en ligne compromise exécutant la version 2 de la plate-forme de commerce électronique open-source Magento.

Ces incidents sont également connus sous le nom d’attaques de Magecart et ont commencé il y a des années. Les cybercriminels qui accèdent à une boutique en ligne grâce à une vulnérabilité plantent du code malveillant conçu pour voler les données des cartes des clients lors des paiements.

Sucuri a trouvé un fichier PHP sur le site web compromis que les pirates avaient modifié pour charger du code malveillant supplémentaire en créant et en appelant la fonction getAuthenticates.

hackers

Le code ci-dessus a également créé dans un emplacement public du magasin infecté une image JPG qui serait utilisée pour stocker les données des cartes de paiement des clients sous une forme encodée.

Cela a permis aux attaquants de télécharger facilement l’information comme un fichier JPG sans déclencher d’alarmes dans le processus car il semblerait qu’un visiteur a simplement téléchargé une image à partir du site Web.

magecart

En analysant le code, les chercheurs ont déterminé que le code malveillant utilisait le framework Magento pour capturer les informations de la page de paiement livrée par le biais de Customer__parameter.

Si le client fournissant les données de la carte a été connecté en tant qu’utilisateur, le code a également dérobé leur adresse e-mail, Sucuri a déclaré dans un article de blog.

Les chercheurs affirment que presque toutes les données soumises sur la page de paiement sont présentes dans Customer__parameter, qui inclut les détails de la carte de paiement, le numéro de téléphone et l’adresse postale.

magecart

Toutes les informations ci-dessus peuvent être utilisées pour la fraude de carte, soit directement par les pirates ou par un autre parti achetant les données, ou pour déployer des campagnes d’hameçonnage et de spam plus ciblées.

Sucuri a expliqué que cette méthode est suffisamment furtive pour passer inaperçu aux yeux des propriétaires de sites Web lors de la vérification d’une infection. Toutefois, les contrôles d’intégrité et les services de surveillance des sites Web devraient être en mesure de détecter des modifications telles que des modifications de code ou l’ajout de nouveaux fichiers.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire