Des centaines de sites de commerce électronique piégés par des logiciels malveillants d’écrémage de cartes de paiement

Environ 500 sites Web de commerce électronique ont récemment été compromis par des pirates qui ont installé un skimmer de carte de crédit qui a subrepticement volé des données sensibles lorsque les visiteurs tentaient d’effectuer un achat.

Un rapport publié mardi n’est que le dernier en date concernant Magecart, un terme générique donné aux groupes criminels concurrents qui infectent les sites de commerce électronique avec des skimmers. Au cours des dernières années, des milliers de sites ont été touchés par des exploits qui les ont amenés à exécuter du code malveillant. Lorsque les visiteurs saisissent les détails de la carte de paiement lors de l’achat, le code envoie ces informations aux serveurs contrôlés par l’attaquant.

Fraude avec l’aimable autorisation de Naturalfreshmall[.]com

Sansec, la société de sécurité qui a découvert le dernier lot d’infections, a déclaré que les sites compromis chargeaient tous des scripts malveillants hébergés sur le domaine naturalfreshmall[.]com.

“L’écumoire Natural Fresh affiche une fausse fenêtre de paiement, déjouant la sécurité d’un formulaire de paiement hébergé (conforme à la norme PCI)”, ont écrit les chercheurs de la société sur Twitter. “Les paiements sont envoyés à https://naturalfreshmall[.]com/paiement/Paiement.php. »

Les pirates ont ensuite modifié des fichiers existants ou planté de nouveaux fichiers qui fournissaient pas moins de 19 portes dérobées que les pirates pourraient utiliser pour conserver le contrôle des sites au cas où le script malveillant serait détecté et supprimé et que le logiciel vulnérable serait mis à jour. La seule façon de désinfecter complètement le site est d’identifier et de supprimer les portes dérobées avant de mettre à jour le CMS vulnérable qui a permis au site d’être piraté en premier lieu.

Sansec a travaillé avec les administrateurs des sites piratés pour déterminer le point d’entrée commun utilisé par les attaquants. Les chercheurs ont finalement déterminé que les attaquants combinaient un exploit d’injection SQL avec une attaque d’injection d’objet PHP dans un plugin Magento appelé Quickview. Les exploits ont permis aux attaquants d’exécuter du code malveillant directement sur le serveur Web.

Publicité

Ils ont accompli cette exécution de code en abusant de Quickview pour ajouter une règle de validation à la table customer_eav_attribute et en injectant une charge utile qui a amené l’application hôte à créer un objet malveillant. Ensuite, ils se sont inscrits en tant que nouvel utilisateur sur le site.

“Cependant, le simple fait de l’ajouter à la base de données n’exécutera pas le code”, ont expliqué les chercheurs de Sansec. « Magento a en fait besoin de désérialiser les données. Et il y a l’ingéniosité de cette attaque : en utilisant les règles de validation des nouveaux clients, l’attaquant peut déclencher une désérialisation en parcourant simplement la page d’inscription de Magento.

Il n’est pas difficile de trouver des sites qui restent infectés plus d’une semaine après que Sansec a signalé la campagne pour la première fois sur Twitter. Au moment où ce message était en ligne, Bedexpress[.]com a continué à contenir cet attribut HTML, qui extrait JavaScript du voyou naturalfreshmall[.]domaine com.

Les sites piratés exécutaient Magento 1, une version de la plate-forme de commerce électronique qui a été retirée en juin 2020. Le pari le plus sûr pour tout site utilisant encore ce package obsolète est de passer à la dernière version d’Adobe Commerce. Une autre option consiste à installer les correctifs open source disponibles pour Magento 1 à l’aide du logiciel DIY du projet OpenMage ou avec le support commercial de Mage-One.

Il est généralement difficile pour les gens de détecter les écumeurs de cartes de paiement sans formation spéciale. Une option consiste à utiliser un logiciel antivirus tel que Malwarebytes, qui examine en temps réel le JavaScript servi sur un site Web visité. Les gens peuvent également vouloir éviter les sites qui semblent utiliser des logiciels obsolètes, bien que ce ne soit guère une garantie que le site est sûr.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire