Les chercheurs de la firme de sécurité informatique chinoise « Qihoo 360’s NetLab » ont révélés les détails d’une campagne de piratage visant à voler les informations de cartes bancaires sur plus de 105 sites de e-commerces visités par des clients.
Durant leurs monitoring du domaine malveillant « www.magento-analytics(.)com » durant les sept derniers mois, les experts ont découverts que les pirates avaient injecté des scripts JS malicieux hébergé sur ce domaine sur plus de centaines de sites d’achats en ligne.
Les scripts JavaScript en question utilisent un code « d’écrémage » de carte numérique. Lorsqu’il est exécuté par le site marchand, il vise à voler automatiquement les informations bancaires tels que le nom du propriétaire de la carte de crédit, le numéro de carte, la date d’expiration, le cryptogramme (CVV) lorsqu’ils sont renseignés sur les sites marchands.
Dans une interview par mail, l’expert de NetLab nous a informé qu’il ne disposait pas de suffisamment d’informations pour déterminer avec précisions comment les pirates informatiques ont infecté les sites Web concernés en premier lieu ou quelles vulnérabilités ils ont exploitées, mais a confirmé que tous les sites d’achat concernés fonctionnent avec le logiciel de e-commerce CMS « Magento » .
Une analyse plus approfondie a révélé que le script malveillant envoyait ensuite les données de carte de paiement volées vers un autre fichier hébergé sur le serveur magento-analytics [.] Com contrôlé par les attaquants.
« Prenez l’exemple d’un site victime (www.kings2.com) qui lorsqu’un utilisateur charge sa page d’accueil, charge également le script JS. Si un utilisateur sélectionne un produit et se rend dans la rubrique « Informations de paiement » pour soumettre les informations de carte de crédit, après avoir saisi les données CVV, les informations de carte de crédit seront téléchargées « , expliquent les chercheurs dans un blog publié aujourd’hui.
https://blog.netlab.360.com/ongoing-credit-card-data-leak/
La technique utilisée par le groupe responsable de cette attaque n’est ni nouvelle, ni exactement identique à celle des groupes de piratage de cartes de crédit MageCart utilisés dans des centaines de leurs attaques récentes, notamment Ticketmaster, British Airways et Newegg.
Cependant, les chercheurs de NetLab n’ont pas explicitement reliés cette attaque avec les attaques du groupe MageCart.
Ne soyez pas induit en erreur concernant le nom de domaine — www.magento-analytics(.)com. Avoir « Magento » dans votre nom de domaine ne signifie pas que le domaine malveillant soit affilié à la plateforme de commerce électronique Magento. Les pirates ont utilisé ce mot-clé pour dissimuler leurs activités et dérouter les utilisateurs habituels.
Selon les chercheurs, le domaine malveillant utilisé dans la campagne est enregistré au Panama. Toutefois, ces derniers mois, l’adresse IP a été déplacée de « États-Unis, Arizona » à « Russie, Moscou », puis à « Chine, Hong Kong. «
Les chercheurs ont constaté que le domaine malveillant volait des informations de cartes de crédit depuis au moins cinq mois sur un total de 105 sites Web déjà infectés par le JS malveillant, mais ils estiment que ce nombre pourrait être supérieur à ce qui apparaît sur leur radar.
Hier encore, un utilisateur a indiqué sur un forum que son site Web Magento avait également été piraté et que des attaquants ont secrètement injecté un script de vol de carte de crédit du même domaine, apparemment une variante distincte qui n’a pas encore été répertoriée sur le site Web 360 NetLab.
Comme les pirates exploitent généralement les vulnérabilités connues des logiciels de commerce électronique en ligne pour injecter leurs scripts malveillants, il est vivement conseillé aux administrateurs de sites Web de respecter les meilleures pratiques de sécurité, telles que l’application des dernières mises à jour et correctifs, la limitation des privilèges pour les systèmes critiques et le renforcement des serveurs Web.
Les administrateurs de sites Web sont également invités à tirer parti de la politique de sécurité du contenu (CSP), qui permet de contrôler de manière stricte les ressources pouvant être chargées sur votre site.
Pendant ce temps, il est également conseillé aux acheteurs en ligne de vérifier régulièrement les relevés de leurs cartes de crédit et leurs relevés bancaires en cas d’activité inconnue. Quelle que soit l’ampleur de la transaction non autorisée que vous remarquez, vous devez la signaler immédiatement à votre banque.
Article original : TheHackerNews
About admin
Telephone: 06.25.37.63.80
Fax: N/C
Email: Contact@Corse-Informatique.Com