Une campagne sophistiquée Magecart a été observée manipulant la page d’erreur 404 par défaut des sites Web pour dissimuler un code malveillant dans ce qui a été décrit comme la dernière évolution des attaques.
Selon Akamai, l’activité cible les sites Web Magento et WooCommerce, certaines des victimes appartenant à de grandes organisations des secteurs de l’alimentation et de la vente au détail.
“Dans cette campagne, tous les sites Web victimes que nous avons détectés ont été directement exploités, car l’extrait de code malveillant a été injecté dans l’une de leurs ressources propriétaires”, a déclaré Roman Lvovsky, chercheur en sécurité chez Akamai. dit dans une analyse de lundi.
Cela implique d’insérer le code directement dans les pages HTML ou dans l’un des scripts propriétaires chargés dans le cadre du site Web.
Les attaques sont réalisées via une chaîne à plusieurs étapes, dans laquelle le code du chargeur récupère la charge utile principale pendant l’exécution afin de capturer les informations sensibles saisies par les visiteurs sur les pages de paiement et de les exfiltrer vers un serveur distant.
“Le but de diviser l’attaque en trois parties est de dissimuler l’attaque de manière à la rendre plus difficile à détecter”, a expliqué Lvovsky. “Cela rend l’attaque plus discrète et plus difficile à détecter par les services de sécurité et les outils d’analyse externes qui pourraient être en place sur le site Web ciblé.”
“Cela permet l’activation du flux complet de l’attaque uniquement sur les pages spécifiquement ciblées ; autrement dit, en raison des mesures d’obscurcissement utilisées par l’attaquant, l’activation du flux complet de l’attaque ne peut se produire que là où l’attaquant avait l’intention de le faire. exécuter.”
L’utilisation de pages d’erreur 404 est l’une des trois variantes de la campagne, les deux autres obscurcissant le code du skimmer dans une balise d’image HTML mal formée. attribut d’erreur et en tant que script en ligne qui se fait passer pour le Méta-Pixel extrait de code.
Le faux code Meta Pixel, pour sa part, récupère une image PNG du répertoire du site Web qui contient une chaîne codée en Base64 ajoutée à la fin du fichier binaire de l’image, qui, une fois décodée, représente un morceau de code JavaScript qui atteint vers un domaine contrôlé par un acteur pour récupérer la charge utile de la deuxième étape.
“Ce code est chargé de mener diverses activités malveillantes sur la page sensible ciblée, dans le but de lire les données sensibles personnelles et de carte de crédit de l’utilisateur et de les retransmettre au serveur C2 du skimmer”, a déclaré Lvovsky.
Ces deux techniques sont conçues pour contourner les mesures de sécurité telles que l’analyse statique et l’analyse externe, prolongeant ainsi la durée de vie de la chaîne d’attaque.
Cependant, c’est la troisième variante du chargeur qui se distingue par sa technique de dissimulation inhabituelle en tirant parti des pages d’erreur par défaut du site Web. Apparaissant sous la forme d’un script en ligne ou d’un faux code Meta Pixel, il envoie une requête GET à une URL inexistante sur le site Web, déclenchant un “404 introuvable” réponse.
Cette réponse pointe vers une page d’erreur modifiée cachant le code du skimmer à l’intérieur. Le skimmer fonctionne en superposant un formulaire de paiement similaire sur les pages de paiement pour capturer les données en vue d’une exfiltration ultérieure sous la forme d’une chaîne codée en Base64.
“L’idée de manipuler la page d’erreur 404 par défaut d’un site Web ciblé peut offrir aux acteurs de Magecart diverses options créatives pour améliorer la dissimulation et l’évasion”, a déclaré Lvovsky.
“La requête vers le chemin propriétaire menant à la page 404 est une autre technique d’évasion qui peut contourner les en-têtes de politique de sécurité du contenu et d’autres mesures de sécurité qui peuvent analyser activement les requêtes réseau sur la page.”