Des centaines de sites de commerce électronique piégés par des logiciels malveillants d’écrémage de cartes de paiement

Des centaines de sites de commerce électronique piégés par des logiciels malveillants d’écrémage de cartes de paiement

11 février 2022 0 Par Le Caiman
Stock photo d'une femme utilisant un ordinateur portable et une carte de crédit pour effectuer un achat.

Environ 500 sites Web de commerce électronique ont récemment été compromis par des pirates qui ont installé un skimmer de carte de crédit qui a subrepticement volé des données sensibles lorsque les visiteurs tentaient d’effectuer un achat.

UNE rapport publié mardi n’est que le dernier en date impliquant Magecart, un terme générique donné aux groupes criminels concurrents qui infectent les sites de commerce électronique avec des skimmers. Au cours des dernières années, des milliers de sites ont été touchés par des exploits qui les ont amenés à exécuter du code malveillant. Lorsque les visiteurs saisissent les détails de la carte de paiement lors de l’achat, le code les envoie aux serveurs contrôlés par l’attaquant.

Fraude avec l’aimable autorisation de Naturalfreshmall[.]com

Sansec, la société de sécurité qui a découvert le dernier lot d’infections, a déclaré que les sites compromis chargeaient tous des scripts malveillants hébergés sur le domaine naturalfreshmall[.]com.

« L’écumoire Natural Fresh affiche une fausse fenêtre de paiement, déjouant la sécurité d’un formulaire de paiement hébergé (conforme à la norme PCI) », ont déclaré des chercheurs du cabinet. a écrit sur Twitter. « Les paiements sont envoyés à https: // naturalfreshmall[.]com/paiement/Paiement.php. ”

Les pirates ont ensuite modifié des fichiers existants ou planté de nouveaux fichiers qui fournissaient pas moins de 19 portes dérobées que les pirates pourraient utiliser pour conserver le contrôle des sites au cas où le script malveillant serait détecté et supprimé et que le logiciel vulnérable serait mis à jour. La seule façon de désinfecter complètement le site est d’identifier et de supprimer les portes dérobées avant de mettre à jour le CMS vulnérable qui a permis au site d’être piraté en premier lieu.

Sansec a travaillé avec les administrateurs des sites piratés pour déterminer le point d’entrée commun utilisé par les attaquants. Les chercheurs ont finalement déterminé que les attaquants combinaient un exploit d’injection SQL avec une attaque d’injection d’objet PHP dans un plugin Magento connu sous le nom de Aperçu rapide. Les exploits ont permis aux attaquants d’exécuter du code malveillant directement sur le serveur Web.

Ils ont accompli cette exécution de code en abusant de Quickview pour ajouter une règle de validation au customer_eav_attribute table et en injectant une charge utile qui a incité l’application hôte à créer un objet malveillant. Ensuite, ils se sont inscrits en tant que nouvel utilisateur sur le site.

« Cependant, le simple fait de l’ajouter à la base de données n’exécutera pas le code », ont déclaré les chercheurs de Sansec. expliqué. « Magento a en fait besoin de désérialiser les données. Et il y a l’ingéniosité de cette attaque : en utilisant les règles de validation des nouveaux clients, l’attaquant peut déclencher une désérialisation en parcourant simplement la page d’inscription de Magento. »

Il n’est pas difficile de trouver des sites qui restent infectés plus d’une semaine après que Sansec a signalé la campagne pour la première fois sur Twitter. Au moment où ce message était en ligne, Bedexpress[.]com a continué à contenir cet attribut HTML, qui extrait JavaScript du voyou naturalfreshmall[.]domaine com.

Les sites piratés exécutaient Magento 1, une version de la plate-forme de commerce électronique qui a été retirée en juin 2020. Le pari le plus sûr pour tout site utilisant encore ce package obsolète est de passer à la dernière version d’Adobe Commerce. Une autre option consiste à installer les correctifs open source disponibles pour Magento 1 en utilisant soit le logiciel DIY du OpenMage projet ou avec le soutien commercial de Mage-Un.

Il est généralement difficile pour les gens de détecter les écumeurs de cartes de paiement sans formation spéciale. Une option consiste à utiliser un logiciel antivirus tel que Malwarebytes, qui examine en temps réel le JavaScript servi sur un site Web visité. Les gens peuvent également vouloir éviter les sites qui semblent utiliser des logiciels obsolètes, bien que ce ne soit guère une garantie que le site est sûr.