Le groupe Magecart 5 serait lié au cheval de Troie bancaire Dridex et au groupe Carbanak
Un des acteurs à l’origine d’attaques Magecart aurait des liens avec les campagnes de phishing Dridex et le groupe Carbanak selon des chercheurs. Cela pourrait signifier que les scripts de vol de données bancaires pourraient être un prélude à une attaque utilisant des logiciels malveillants plus traditionnels.
Mardi, des chercheurs de Malwarebytes ont déclaré qu’un des groupes de Magecart actuellement actif, baptisé Magecart Group 5, semble avoir des liens avec le groupe APT (Advanced Persistent threat) Carbanak. Lorsque Magecart est apparu sur les radars il y a plusieurs années, le nom a été attribué à un groupe spécialisé dans l’utilisation du code JavaScript des skimmers. Ces scripts sont chargés secrètement sur des plates-formes et des services de commerce électronique compromis et utilisés pour récolter les informations relatives aux cartes de paiement saisies par les victimes lors de la tentative d’achat.
British Airways, Ticketmaster, Newegg et des milliers d’autres commerçants en ligne ont été victimes de cette tactique, qui fonctionne généralement en exploitant les vulnérabilités du système de gestion du contenu (CMS) et des services cloud mal configurés.
Tactique différente
Aujourd’hui, le terme Magecart est utilisé pour décrire des groupes d’acteurs malveillants qui utilisent des scripts de vol de données de cartes bancaires en ligne, ainsi que la tactique elle-même.
Selon Malwarebytes, Magecart Group 5 a un “modus operandi très différent” des autres dans le domaine : il a tendance à cibler les faiblesses chez des acteurs tiers et à trouver des solutions détournées plutôt que d’attaquer directement ses véritables cibles.
Selon les chercheurs Jérôme Segura, William Tsing et Adam Thomas, le groupe Magecart 5 serait probablement lié à Dridex, un cheval de Troie bancaire qui a fait ses premiers pas en 2014 et qui est depuis activement utilisé dans le vol d’identifiants bancaires.
Les logiciels malveillants se propagent généralement par des méthodes de phishing utilisant de faux avis de facturation.
En utilisant les données des enregistrements WHOIS antérieurs au règlement général de l’UE sur la protection des données (GDPR), Malwarebytes a découvert des données de titulaire d’enregistrement provenant d’un bureau d’enregistrement «bulletproof» en Chine appelé BIZCN / CNOBIN.
Oubli coupable ?
Bien que le groupe ait enregistré les domaines utilisés pour ses campagnes en ayant recours à des services de protection de la vie privée, le groupe 5 de Magecart n’a pas utilisé cette protection pour tous les enregistrements, révélant ainsi un ensemble de domaines malveillants enregistrés par la même adresse électronique guotang323@yahoo.com. Cette adresse a été utilisée à la fois pour enregistrer des domaines impliqués dans des attaques Magecart et dans le cadre de campagnes de propagation du malware Dridex.
Certains des domaines appartenant au groupe ont été utilisés dans des campagnes de courrier électronique de phishing par e-fax d’entreprise ciblant des sociétés allemandes, tandis que d’autres sont des tentatives de phishing visant One Phosting et Xero. Dans les deux cas, l’objectif est de diffuser le malware sur l’appareil de la cible ayant cliqué sur le lien envoyé par les attaquants.
Le numéro de téléphone enregistré peut également fournir une connexion supplémentaire à d’autres campagnes. Le numéro +86. 1066569215, selon l’expert en cybersécurité Brian Krebs, pourrait avoir des liens vers les campagnes Carbanak et une société russe de “cybersécurité”.
Auparavant, Malwarebytes avait examiné le groupe 5 de Magecart et ses liens potentiels avec Cobalt, un groupe de pirates informatiques pernicieux qui serait responsable du vol de millions de dollars à plusieurs institutions financières dans le monde.
IBM a également identifié Magecart Group 6 comme étant FIN6, un groupe malveillant associé à des attaques contre des systèmes de point de vente en Europe, ainsi que par le déploiement de diverses souches de logiciels malveillants.
Article Magecart group linked to Dridex banking Trojan, Carbanak traduit et adapté par ZDNet.fr
