Vol de cartes bleues : les favicons traîtresses

Spread the love
Vol de cartes bleues : les favicons traîtresses

Cacher du code malveillant dans un fichier image : tel est peu ou prou la technique d’un groupe de cybercriminels, analysée par la société Malwarebytes sur son blog. Jérôme Segura, directeur Threat Intelligence chez MalwareBytes, analyse le mode opératoire d’une campagne de vol de carte bleue visant des sites d’e-commerce utilisant le plugin WooCommerce pour WordPress. « WooCommerce est de plus en plus ciblé par des criminels, car il a une part de marché importante », explique le chercheur.

Les attaques visant les sites e-commerce, généralement connu sous le nom de Magecart du fait du nombre d’attaques visant les boutiques reposant sur la plateforme Magento, opèrent généralement de la même manière en piratant le site de la cible afin d’insérer du code JavaScript malveillant qui se chargera de récupérer les données de carte bleue entrées sur la page de paiement par des internautes et transmettre ces données à un serveur contrôlé par des attaquants. Au cours des dernières années, plusieurs sites d’e-commerce ainsi que des marques célèbres ont été victimes de ce type d’attaques.

L’attaque détaillée par Jérôme Segura présente néanmoins une originalité : le script initialement chargé par les attaquants sur le site de la victime ne montrait aucun comportement malveillant au premier abord. « En effet, rien dans ce code n’indique un type d’activité de vol de carte bleue. Tout ce que nous avons est un JavaScript qui charge un fichier favicon distant et semble également analyser certaines données », indique Jérôme Segura.

publicité

Imagecart

Le code malveillant était en effet dissimulé dans les métadonnées (EXIF) du fichier favicon téléchargé par le script. Celui-ci était dissimulé dans le champ “Copyright” des métadonnées de l’icône en question, et le script installé par les attaquants sur le site se chargeait de récupérer le code malveillant en téléchargeant l’image, avant de l’injecter sur les pages de paiement du site visées par l’attaque.

Le script est assez similaire aux autres scripts utilisés dans des attaques de type Magecart : une fois inséré sur la page, celui-ci récupère les données entrées dans le formulaire de paiement par carte bleue et les transmet aux attaquants. Celui-ci continue néanmoins d’exploiter les images, puisque les données volées sont également transférées sous la forme d’une image. « Les acteurs malveillants ont probablement décidé de s’en tenir au thème de l’image pour cacher également les données exfiltrées via le fichier favicon.ico », estime l’auteur du post de blog.

Ce n’est pas la première fois que les attaquants utilisent des images pour dissimuler un logiciel malveillant. La stéganographie désigne la pratique qui consiste à dissimuler un document ou du texte au sein d’une image afin de la dissimuler. Ce n’est pas tout à fait la première fois que des attaques de type Magecart ont recours à des méthodes de ce type : le blog de Malwarebytes a ainsi analysé plusieurs cas d’attaques contre des sites d’e-commerce ayant recours à des techniques de stéganographie. Les analystes de la société estiment néanmoins que celles-ci sont réservées « à des attaquants plus sophistiqués ».

Leave a Reply