Magecart : l’e-commerce dans le collimateur

Magecart : l’e-commerce dans le collimateur

Si les ransomwares font beaucoup parler d’eux, d’autres formes de cybercriminalité moins voyantes continuent de faire recette. C’est le cas des attaques dites “Magecart” (ou “Web skimming attacks” en anglais), qui visent principalement les sites d’e-commerce et cherchent à dérober les informations de carte bleue des clients des sites de vente en ligne. Plusieurs cas d’attaques de ce type ont été dévoilés au cours des deux dernières années : la plus connue est certainement celle ayant visé British Airways en 2018, qui a affecté plus de 40 000 clients. En France, des cas de figure ont également été médiatisés en 2019, comme la régie publicitaire Adverline.

« Magecart, c’est l’équivalent numérique des escroqueries au faux distributeur qui vole vos informations de carte bleue », explique Jérôme Segura, directeur Threat Intelligence chez Malwarebytes. Sur le blog de Malwarebytes, il publie avec son équipe depuis plusieurs années des articles détaillant les tactiques et les techniques employées par les cybercriminels qui s’adonnent à ce type d’attaques.

publicité

Une recette qui fonctionne

Les attaques Magecart suivent un schéma similaire dans la plupart des cas : on utilise sa carte bancaire pour effectuer un paiement en ligne sur un site, mais celui-ci a été compromis par des attaquants au préalable, qui profitent de cet accès pour injecter un script qui récupère les données de carte bleue au moment du paiement et les envoie au cybercriminel. « Peu importe l’affichage du cadenas HTTPS ou d’éventuels blasons promettant que le site est sécurisé, ce type d’attaque se fait de façon complètement transparente pour les utilisateurs comme pour les sites d’e-commerce. »

La compromission du site passe généralement par deux méthodes principales. « On voit deux cas de figure : de petits sites d’e-commerce qui sont souvent réalisés par des prestataires et qui ne sont pas maintenus. Et des gros sites, généralement tenus à jour. Dans la première catégorie, on voit beaucoup de compromission exploitant les failles connues du CMS. Dans la deuxième, on a souvent affaire à des attaques plus sophistiquées, qui visent à compromettre les identifiants d’un compte administrateur ou à injecter un script malveillant via le piratage d’un tiers (CDN ou plug-ins) afin de diffuser le code malveillant sur le site. »

L’objectif est toujours le même : installer sur le site de la victime un script malveillant (souvent désigné sous le terme de “skimmer” en anglais) qui se chargera sur la page de paiement. Celui-ci vise le plus souvent à imiter le formulaire de recueil des informations de carte bleue afin de substituer une version malveillante qui transmettra aux attaquants les codes volés, tout en poursuivant la transaction. Pour le client comme pour le vendeur, rien d’anormal : la transaction se déroule comme prévue, mais les attaquants en ont au passage profité pour récupérer les codes de carte bleue, qui peuvent ensuite être réutilisés pour des achats en ligne ou pour créer des clones de CB.

Le diable est dans les détails

Les scripts utilisés par les attaquants varient selon les groupes : Malwarebytes distingue ainsi les scripts “server side”, « généralement des scripts PHP qui sont installés et s’exécutent entièrement coté serveur », des scripts “Client side”, « plus souvent du code JavaScript qui s’exécute lui entièrement dans le navigateur du client au moment du paiement, soit en chargeant un script présent sur le site compromis, soit en appelant un script depuis un site tiers ». Jérôme Segura évoque aussi l’utilisation de skimmers “hybrides” qui vont par exemple voler les données de CB en chargeant du JavaScript dans le navigateur et exfiltrer ensuite ces informations via un script côté serveur. « Heureusement pour nous en tant que société antivirus, les attaques les plus courantes sont côté client, ce qui nous permet de mieux les voir et de les stopper », explique le chercheur de MalwareBytes.

Scrutés de près par les entreprises de cybersécurité, les groupes Magecart n’hésitent pas à avoir recours à des mesures de dissimulation visant à éviter la détection : stéganographie pour l’exfiltration des données, obscurcissement du code, script malveillant chargé depuis une source externe ou encore utilisation de WebSockets pour l’exfiltration de données via un canal moins voyant. Les différents skimmers proposés en vente sur le marché noir proposent pour certains ces fonctionnalités, et des améliorations “maison” sont parfois apportées par les cybercriminels. « C’est assez similaire à ce qu’on a pu voir avec la mode des cryptojackers : toutes ces techniques sont réutilisées à l’envi par les opérateurs d’attaques Magecart. Au final c’est le jeu du chat et de la souris », résume Jérôme Segura.

La relève des “exploit kits”

Le nom Magecart provient des premières publications de RiskIQ sur le sujet en 2018, et fait directement référence au CMS Magento, cible privilégiée des attaquants. « Ce n’est pas le seul CMS visé par ces attaques. On a constaté des attaques sur d’autres CMS type Woocommerce, ou plus récemment ASP.net. Mais Magento reste une cible fréquente : c’est un CMS populaire, et des vulnérabilités sont connues et découvertes régulièrement », précise Jérôme Segura.

Ce type d’attaque a gagné en popularité au cours des deux dernières années en se posant en alternative efficace aux “exploit kits”, qui se présentaient comme la principale menace web des dernières années. « Il y a 5 ans, les exploit kits étaient le vecteur d’attaque principal. Mais avec la fin du monopole d’Internet Explorer et d’Adobe Flash, les attaquants se rendent compte qu’il est plus complexe de s’attaquer directement au navigateur. La popularité de Google Chrome demande de trouver des attaques ne nécessitant aucune vulnérabilité et fonctionnant sur tous les navigateurs : les attaques de Web Skimming fonctionnent comme ça », détaille Jérôme Segura. Si le chercheur estime qu’il est « délicat » de donner un nombre d’attaques, il assure que celles-ci sont en hausse, profitant notamment de l’essor du commerce en ligne pendant le confinement.

Et qui sont ceux qui s’adonnent à ces attaques ? Les premiers rapports avaient tendance à les attribuer à un même groupe, connu sous le nom de Magecart. On sait néanmoins depuis le rapport de RiskIQ publié en 2018 que plusieurs groupes ont recours à ces techniques. Mais l’attribution a ses limites : « RiskIQ avait choisi de numéroter les différents groupes. On a commencé par en distinguer huit, puis douze. Plus tard, GroupIB est arrivé avec un nouveau rapport et en a trouvé une trentaine : c’est à ce moment-là que j’ai pour ma part un peu abandonné la numérotation des groupes parce que ça n’avait plus vraiment de sens », témoigne Jérôme Segura.

Les acteurs à l’origine de ces attaques sont nombreux et divers : plusieurs arrestations ont été annoncées en Indonésie, mais d’autres groupes semblent avoir des liens avec les groupes Dridex et la sphère cybercriminelle russe. Des rapports publiés au mois de juillet ont également accusé le groupe Lazarus, lié au gouvernement de la Corée du Nord, d’avoir visé la chaîne de vente d’accessoires en ligne Claire’s avec une attaque de ce type : Magecart est une tactique qui fonctionne et tout le monde semble aujourd’hui s’en emparer.

Leave a Reply

Your email address will not be published. Required fields are marked *