Une société publicitaire malhonnête distribue du code de redécoupage à des centaines de sites Web Magecart

Une société publicitaire malhonnête distribue du code de redécoupage à des centaines de sites Web Magecart
4.9 (98.18%) 11 votes


Des chercheurs en sécurité ont signalé une nouvelle attaque Web contre la chaîne d’approvisionnement de l’un des groupes de cybercriminels relevant du groupe Magecart.

Les attaquants ont réussi à compromettre Adverline, une société française de publicité en ligne ayant une clientèle européenne, et à injecter du code de survol des cartes de paiement dans l'une de ses bibliothèques JavaScript pour recibler la publicité.

Les cibles

«Les attaques de la chaîne logistique basées sur le Web compromettent les fournisseurs qui fournissent du code souvent utilisé pour ajouter ou améliorer les fonctionnalités du site. Ce code s’intègre à des milliers de sites Web. Ainsi, lorsqu’il est compromis, les sites de tous les clients qui l’utilisent le sont également », a déclaré le chercheur de RiskIQ, Yonathan Klijnsma.

Les chercheurs de Trend Micro ont découvert que le code de contournement malveillant avait été chargé sur «277 sites Web de commerce électronique proposant des services de billetterie, de tournée et de réservation de vols, ainsi que sur des sites Web de paniers d'achat auto-hébergés de grandes marques de cosmétiques, de soins de santé et de vêtements».

Le compromis et le script

Les chercheurs de RiskIQ estiment que le groupe qui a organisé cette attaque est relativement nouveau et n’avait jusqu’à présent effectué que des compromis directs. Ils l'appellent Magecart 12.

Le groupe aurait apparemment commencé à préparer l'infrastructure d'attaque en septembre 2018, mais le compromis Adverline a été mis en oeuvre à la fin du mois de décembre 2018.

«Magecart Group 12 utilise une boîte à outils d'écrémage qui utilise deux scripts obscurcis. Le premier script est principalement destiné à l'anti-inversion, tandis que le second est le code principal de filtrage de données. Ils incluent également une vérification d'intégrité du code qui détecte si le script est modifié. La vérification est effectuée en calculant une valeur de hachage dans la section de script et arrête l'exécution du script s'il constate qu'il ne correspond pas au hachage d'origine », chercheurs de Trend Micro.

Le script nettoie également en permanence les messages de la console du débogueur du navigateur pour dissuader la détection et l'analyse, et utilise des routines d'empreinte digitale pour confirmer que la session du navigateur provient d'un consommateur réel.

Le code d’écrémage principal vérifie d’abord que le script est exécuté sur une page «Panier» en recherchant un certain nombre de chaînes qui se trouvent généralement sur ce type de page, par exemple «achat», «panier», «paiement» (« paiement ”en français) et“ kasse ”(“ caisse ”en allemand).

S'il en détecte un ou plusieurs, il entre en action: il vole les données de paiement et de facturation saisies, lui attribue un identifiant, le code tout et utilise l'utilisation stockage local la capacité du navigateur du visiteur à le stocker.

Une fois la page Web de paiement fermée ou actualisée, les informations sont envoyées à un serveur distant exploité par les criminels.

Les conséquences

Trend Micro a informé Adverline du compromis, et la société a «traité l'incident» et «effectué les opérations de correction nécessaires en relation avec le CERT La Poste». (Adverline appartient à Mediapost, une filiale du groupe La Poste. CERT La Poste est le principal point de contact public pour toute question relative à la sécurité des technologies de l'information concernant Le Groupe La Poste et ses filiales.)

RiskIQ a tenté de supprimer les domaines impliqués dans l'attaque, mais a constaté qu'ils avaient cessé de fonctionner en raison de la modification de leurs enregistrements DNS.

"Cependant, comme le bureau d'enregistrement n'a pas répondu à nos demandes de retrait au moment d'écrire ces lignes, nous ne savons pas si les attaquants ont toujours le contrôle des domaines pour poursuivre l'attaque plus tard", ont-ils noté.

Malheureusement, les utilisateurs finaux ne peuvent pas faire grand chose pour empêcher le vol de leurs informations lors de ce type d’attaque.

Désactiver JavaScript fonctionnerait, car ces skimmers sont des scripts JavaScript, mais le déménagement rompt souvent des fonctionnalités importantes sur de nombreux sites Web et les empêcherait probablement de faire des achats en ligne.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *