18 février 2025Ravie LakshmananMalware / piratage de site Web

Les chercheurs en cybersécurité ont signalé une campagne de logiciels malveillants en vol de cartes de crédit qui a été observée ciblant les sites de commerce électronique exécutant Magento en déguisant le contenu malveillant dans les balises d’image dans le code HTML afin de rester sous le radar.

Magecart est le nom donné à un logiciel malveillant capable de voler des informations de paiement sensibles sur les sites d’achat en ligne. Les attaques sont connues pour utiliser un large éventail de techniques – à la fois sur côté client et serveur – pour compromettre les sites Web et déployer des skimmers de carte de crédit pour faciliter le vol.

En règle générale, ces logiciels malveillants ne sont déclenchés ou chargés que lorsque les utilisateurs visitent les pages de caisse pour saisir les détails de la carte de crédit en servant un faux formulaire ou en capturant les informations saisies par les victimes en temps réel.

Le terme Magecart est une référence à la cible d’origine de ces groupes de cybercriminalité, la plate-forme Magento qui offre des fonctionnalités de caisse et de panier pour les détaillants en ligne. Au fil des ans, de telles campagnes ont adapté leurs tactiques en dissimulant du code malveillant par le codage et l’obscurcissement dans des sources apparemment inoffensives, telles que de fausses images, des fichiers audio, des favicons et même des pages d’erreur 404.

Cybersécurité

“Dans ce cas, les logiciels malveillants affectant le client suivent le même objectif – rester caché”, le chercheur de Sucuri Kayleigh Martin dit. “Il le fait en déguisant un contenu malveillant à l’intérieur d’un étiqueterce qui facilite la négligence. “

“C’est courant pour Des balises pour contenir des chaînes longues, en particulier lors de la référence des chemins de fichier image ou des images codées de base64, ainsi que des attributs supplémentaires comme la hauteur et la largeur. “

La seule différence est que le La balise, dans ce cas, agit comme un leurre, contenant du contenu codé de base64 qui pointe vers le code JavaScript qui est activé lorsqu’un Événement ONERROR est détecté. Cela rend l’attaque beaucoup plus sournoise, car le navigateur fait intrinsèquement fait confiance à la fonction ONERROR.

“Si une image ne se charge pas, la fonction ONERROR déclenchera le navigateur pour afficher une icône d’image cassée à la place”, a déclaré Martin. “Cependant, dans ce contexte, l’événement ONERROR est détourné pour exécuter JavaScript au lieu de simplement gérer l’erreur.”

De plus, l’attaque offre un avantage supplémentaire à menacer les acteurs L’élément HTML est généralement considéré comme inoffensif. Le malware, pour sa part, vérifie si l’utilisateur est sur la page de paiement et attend que les utilisateurs sans méfiance cliquent sur le bouton Soumettre pour siphon les informations de paiement sensibles les entrées à un serveur externe.

Déployer des écumeurs de paiement

Le script est conçu pour insérer dynamiquement une forme malveillante avec trois champs, le numéro de carte, la date d’expiration et le CVV, dans le but de l’exfiltration[.]com.

“L’attaquant atteint deux objectifs impressionnants avec ce script malveillant: éviter une détection facile par les scanners de sécurité en codant pour le script malveillant dans un Tag, et garantir que les utilisateurs finaux ne remarquent pas des changements inhabituels lorsque le formulaire malveillant est inséré, restez non détecté le plus longtemps possible “, a déclaré Martin.

“L’objectif des attaquants qui ciblent des plates-formes comme Magento, WooCommerce, Prestashop et d’autres est de rester non détectée aussi longtemps que possible, et le malware qu’ils injectent dans les sites est souvent plus complexe que les morceaux de logiciels malveillants plus souvent trouvés sur d’autres sites.”

Cybersécurité

Le développement intervient alors que la société de sécurité du site Web a détaillé un incident impliquant un site WordPress qui a exploité le répertoire Mu-Plugins (ou Plugins à utiliser) pour implanter des délais et exécuter du code PHP malveillant de manière furtive.

“Contrairement aux plugins réguliers, les plugins incontournables sont automatiquement chargés sur chaque charge de page, sans avoir besoin d’activation ou apparaissant dans la liste des plugins standard”, Puja Srivastava dit.

“Les attaquants exploitent ce répertoire pour maintenir la persistance et l’évasion de la détection, car les fichiers placés ici s’exécutent automatiquement et ne sont pas facilement désactivés à partir du panneau d’administration WordPress.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57