Un cours Magecart a attiré l’attention des chercheurs en cybersécurité pour avoir utilisé de faux écrans de paiement réalistes pour capturer les données sensibles saisies par des utilisateurs peu méfiants.
« L’acteur de la menace a utilisé les logos originaux du magasin compromis et a personnalisé un élément Web connu sous le nom de modal pour détourner parfaitement la page de paiement », Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes, a dit. « La chose remarquable ici est que le skimmer semble plus authentique que la page de paiement d’origine. »
Le terme Magecart est un fourre-tout qui fait référence à plusieurs groupes de cybercriminalité qui utilisent des techniques d’écrémage en ligne pour voler des données personnelles sur des sites Web – le plus souvent, les détails des clients et les informations de paiement sur les sites de commerce électronique.
Le nom provient du ciblage initial du groupe sur la plateforme Magento. Selon données partagé par Sansec, les premières attaques de type Magecart ont été observées dès 2010. En 2022, on estime que plus de 70 000 magasins ont été compromis avec un écumeur Web.
Ces attaques d’écrémage numérique, également appelées formjacking, exploitent traditionnellement divers types d’astuces JavaScript pour siphonner les informations sensibles des utilisateurs de sites Web.
La dernière itération, observée par Malwarebytes sur un magasin d’accessoires de voyage parisien anonyme fonctionnant sur le CMS PrestaShop, impliquait l’injection d’un skimmer appelé Kritec pour intercepter le processus de paiement et afficher une fausse boîte de dialogue de paiement aux victimes.
Kritec, précédemment détaillé par Akamaï et Malwarebytes en février 2023, il s’est avéré qu’il usurpait l’identité de fournisseurs tiers légitimes comme Google Tag Manager comme technique d’évasion.
La société de cybersécurité a déclaré que le skimmer est à la fois complexe et fortement obscurci, le modal malveillant étant chargé lors de la sélection d’une carte de crédit comme option de paiement sur le site Web compromis.
Une fois les détails de la carte de paiement collectés, un faux message d’erreur concernant l’annulation du paiement est brièvement affiché à la victime avant de la rediriger vers la page de paiement réelle, moment auquel le paiement sera effectué.
« Le skimmer déposera un cookie qui servira d’indication que la session en cours est maintenant marquée comme terminée », a expliqué Segura. « Si l’utilisateur devait revenir en arrière et tenter à nouveau le paiement, le modal malveillant ne serait plus affiché. »
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Les acteurs de la menace à l’origine de l’opération utiliseraient différents domaines pour héberger le skimmer, qui portent des noms similaires : « [name of store]-loader.js », suggérant que les attaques ciblent différents magasins en ligne avec des modaux personnalisés.
« Discerner si une boutique en ligne est digne de confiance est devenu très difficile et cette affaire est un bon exemple d’écumoire qui ne soulèverait aucun soupçon », a déclaré Segura.
Les conclusions arrivent un peu plus de deux mois après Malwarebytes déterré un autre skimmer Web qui collecte les données d’empreintes digitales du navigateur, telles que les adresses IP et Agent utilisateur des chaînes, ainsi que des informations de carte de crédit, probablement dans le but de surveiller les utilisateurs non valides tels que les bots et les chercheurs en sécurité.