Magecart : suivre le script

Spread the love
Magecart : suivre le script

Au mois de janvier 2020, les chercheurs en sécurité Max Kersten et Jacob Pimental se penchaient sur une infection de type Magecart affectant un site de revente de billets. Près d’un an après, à l’occasion de l’édition 2020 de la Botconf, Max Kersten est revenu sur la façon dont il est parvenu avec l’aide de plusieurs chercheurs à remonter le fil de cette première infection et à retracer l’activité d’un groupe cybercriminel ayant infecté plus de 1236 sites web avec des scripts de vol de carte bleue. Principalement situées aux États unis, les compromissions de sites se retrouvent tout de même un peu partout dans le monde. Une trentaine de sites français faisaient partie des victimes identifiées.

publicité

Remonter la piste

Nous avions déjà présenté le principe des attaques Magecart : le nom désigne un mode opératoire utilisé par plusieurs groupes cybercriminels et qui consiste à compromettre des sites d’e-commerce pour y installer un script de vol de données de cartes bleues. « La particularité de ce type d’attaque, c’est que pour les victimes tout se passe de manière transparente » souligne Max Kersten. Sur le site de commerce en ligne, rien d’anormal à première vue : la transaction se déroule sans soucis et le client reçoit bien l’objet qu’il a commandé. Mais les cybercriminels récupèrent les données de carte bleue au moment de la transaction, et celles-ci sont parfois utilisées plusieurs mois après la visite de la victime sur le site compromis.

De nombreux groupes s’adonnent à ce type d’activités, mais Max Kersten a entrepris de suive les activités d’un groupe en particulier, celui qu’il pense être impliqué dans la compromission initiale des sites de revente de billet. En analysant le script de vol de carte bleue, les chercheurs parviennent à identifier le nom de domaine utilisé par les attaquants pour exfiltrer les données volées. C’est sur cette adresse que les données volées par le script sont expédiées, un domaine contrôlé par les attaquants qui leur permet ensuite de les récupérer sans peine.

 

 

Deux graphiques permettent de voir la répartition des victimes, geographiquement et selon leur secteur d’activité

« En se basant sur ce nom de domaine, j’ai cherché grâce au service Urlscan.io quels étaient les sites qui se connectaient régulièrement à ce nom de domaine », explique Max Kersten. Il ajoute avoir également utilisé le hash du script de vol de carte bleue afin de repérer d’autres sites éventuellement affectés.
L’objectif est d’identifier les sites touchés et de les prévenir, pour qu’il puisse corriger les failles exploitées par les attaquants et retirer les scripts malveillants installés sur leurs sites. « J’ai essayé de prévenir les magasins affectés, puis quand cela ne fonctionnait pas ou que l’on ne me répondait pas, j’ai publié les données que j’avais » fait savoir le chercheur.

Le dilemme du chercheur

Reste une épineuse question pour les chercheurs : celle de la mise hors ligne du domaine utilisé par les cybercriminels. « Mettre hors ligne le domaine utilisé dans le cadre de ce type de campagne est évidemment utile, parce que cela permet de bloquer le vol des données bancaires. Mais cela peut également nous empêcher de suivre l’activité du groupe et de détecter de nouveaux sites compromis. Perdre la visibilité sur la campagne après la mise hors ligne du nom de domaine pourrait entraîner le vol de plus d’informations de cartes de crédit, sans que l’on soit capable de s’en rendre compte. » résume Max Kersten.

Le dilemme pour le chercheur n’a donc rien d’anodin : demander la mise hors ligne d’un domaine d’exfiltration permet de bloquer la récupération des données de carte bancaire volées. Mais cela n’arrête pas les activités du groupe cybercriminel : « Dans de nombreux cas, ils ont toujours accès aux sites compromis, et il leur suffit de s’y connecter et de mettre à jour leur logiciel malveillant avec un nouveau domaine d’exfiltration. » Si le chercheur est en mesure de voir cette mise à jour et d’identifier le nouveau nom de domaine d’exfiltration, il peut éventuellement identifier de nouveaux sites compromis, sinon, il risque tout simplement de perdre la trace des activités du groupe.

Il explique que plusieurs critères lui semblent importants à prendre en compte pour décider à quel moment il devient nécessaire de mettre hors ligne le domaine d’exfiltration utilisé par les cybercriminels : « Pour prendre ce type de décision, je me base sur l’activité du groupe en question. Le groupe MageCart 12 est plutôt actif, plus que d’autres groupes. Pour un groupe inactif, mettre hors ligne le domaine utilisé peut suffire à stopper complètement la campagne, mais le groupe MageCart 12 parvient à continuer son activité malgré la mise hors ligne des domaines. »

Autre critère qu’il prend également en compte, la popularité du magasin d’e-commerce concerné : « Par exemple, lorsque l’on constate une infection de ce type sur un magasin en ligne important, c’est sage de demander la suppression du domaine aussi tôt que possible pour éviter le vol d’un trop grand nombre d’informations. » Pour des magasins plus petits ou moins actifs, la décision peut être differente. En tant que chercheur indépendant, Max Kersten ne dispose pas des moyens d’entreprises specialisées dans le monitoring de ce type d’attaques, et la mise hors ligne d’un domaine peut egalement être dommageable. En perdant la trace des attaquants, ceux ci peuvent continuer leurs operations à l’abri des radars.  Comme le résume le chercheur : « c’est de toute façon toujours une décision au cas par cas. »

Les victimes paient l’addition

Les attaques Magecart sont moins visibles que les attaques au ransomware, mais n’en restent pas moins un vrai danger pour les entreprises et les consommateurs. Les assurances se chargent généralement de rembourser les utilisations frauduleuses des cartes compromises, mais le défaut de sécurisation d’un site d’e-commerce peut provoquer la colère d’une autorité de protection des données.

En Grande-Bretagne, l’ICO, équivalent britannique de la CNIL, a ainsi annoncé avoir infligé une amende de 20 millions de livres sterling à British Airways et de 1,25 million de livres pour TicketMaster. Et les montants envisagés initialement étaient bien plus important, mais en ces temps de pandémie, l’autorité a préféré opter pour des amendes moins lourdes.

Dans les deux cas, il s’agissait d’attaques de type MageCart, l’autorité ayant estimé que les mesures de sécurisation de base n’avaient pas été mises en œuvre par les services victimes. « Il y a des outils en ligne qui peuvent permettre de se protéger, les éditeurs de CMS comme Magento patchent les failles lorsqu’elles sont trouvées. Mais tout le monde doit jouer le jeu, il faut également que les administrateurs appliquent les correctifs » résume Max Kersten.

Leave a Reply