Une vague d’attaques Magecart détectée pour la rentrée

Une vague d’attaques Magecart détectée pour la rentrée

C’est la rentrée, le gouvernement et les entreprises croient dur comme fer à la reprise économique tant désirée, les cybercriminels aussi. La société Sansec, spécialisée dans la protection contre les attaques Magecart, a annoncé hier avoir détecté une campagne d’attaques automatisées de grande ampleur dans le courant du week-end. « Le système de détection des attaques de Sansec, qui surveille les menaces sur les sites d’e-commerce, a détecté 1 904 magasins Magento distincts avec script malveillant (skimmer) sur la page de paiement. Vendredi, 10 magasins ont été infectés, puis 1 058 samedi, 603 dimanche et 233 lundi », détaillent les auteurs du rapport.

Cette campagne, « automatisée » selon Sansec, vise principalement les magasins de e-commerce s’appuyant sur Magento 1, mais les chercheurs notent que quelques magasins affectés utilisaient Magento 2. C’est la campagne d’attaques la plus importante identifiée par Sansec depuis une précédente vague ayant affecté un peu moins de 1 000 sites en un seul jour au mois de juillet 2019.

Les attaquants visaient à installer sur les sites visés des scripts de “skimming”, des scripts malveillant capables d’enregistrer la frappe au clavier de l’utilisateur lorsque celui-ci entre son code de carte bleue dans un formulaire de paiement. Ces techniques, connues sous le nom d’attaque Magecart, sont particulièrement populaires auprès des cybercriminels et difficiles à détecter pour les sites victimes comme pour leurs utilisateurs.

publicité

Rentrée des crasses

Willem de Groot, chercheur et fondateur de la société Sansec, détaille sur le blog de sa société le déroulé d’une des attaques identifiées ce week-end : une fois le serveur hébergeant le site compromis, les attaquants installent un logiciel malveillant dont le nom de fichier est mysql.php. Celui-ci est ensuite utilisé pour installer un script JavaScript malveillant avant d’être effacé de l’appareil. Le script chargé depuis un site tiers est un script de vol de frappe de clavier qui ne s’active que lorsque celui-ci est téléchargé depuis un formulaire de paiement.

Selon Sansec, le vecteur d’attaque exploité dans le cadre de cette campagne pourrait provenir d’une faille 0-day récemment commercialisée sur des marketplaces illégales par un utilisateur connu sous le pseudonyme de z3r0day. Cette faille de sécurité affecterait les versions de Magento 1, une version du module d’e-commerce qui n’est plus officiellement supportée par l’éditeur Adobe depuis le mois de juin 2020. Cette vulnérabilité ne disposerait donc pas de correctif livré par l’éditeur pour venir combler la faille.

Sansec estime le nombre de magasins exploitant Magecart 1 à un peu plus de 90 000 en ligne aujourd’hui, soit un nombre de cibles potentielles important pour les attaquants.

Leave a Reply

Your email address will not be published. Required fields are marked *