{"id":1250793,"date":"2024-07-23T18:24:59","date_gmt":"2024-07-23T20:24:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/sites-magento-cibles-par-un-skimmer-de-carte-de-credit-sournois-via-des-fichiers-dechange\/"},"modified":"2024-07-23T18:25:03","modified_gmt":"2024-07-23T20:25:03","slug":"sites-magento-cibles-par-un-skimmer-de-carte-de-credit-sournois-via-des-fichiers-dechange","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/sites-magento-cibles-par-un-skimmer-de-carte-de-credit-sournois-via-des-fichiers-dechange\/","title":{"rendered":"Sites Magento cibl\u00e9s par un skimmer de carte de cr\u00e9dit sournois via des fichiers d&#8217;\u00e9change"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">D\u00e9tection des menaces \/ S\u00e9curit\u00e9 du site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Sites-Magento-cibles-par-un-skimmer-de-carte-de-credit.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;utiliser des fichiers d&#8217;\u00e9change sur des sites Web compromis pour dissimuler un \u00e9cr\u00e9meur de carte de cr\u00e9dit persistant et r\u00e9colter des informations de paiement.<\/p>\n<p>La technique sournoise, observ\u00e9e par Sucuri sur la page de paiement d&#8217;un site de commerce \u00e9lectronique Magento, a permis au malware de survivre \u00e0 plusieurs tentatives de nettoyage, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Le skimmer est con\u00e7u pour capturer toutes les donn\u00e9es dans le formulaire de carte de cr\u00e9dit sur le site Web et exfiltrer les d\u00e9tails vers un domaine contr\u00f4l\u00e9 par l&#8217;attaquant nomm\u00e9 \u00ab\u00a0amazon-analytics\u00a0\u00bb.[.]com&#8221;, qui a \u00e9t\u00e9 enregistr\u00e9e en f\u00e9vrier 2024.<\/p>\n<p>\u00ab Notez l&#8217;utilisation du nom de marque ; cette tactique consistant \u00e0 exploiter des produits et services populaires dans les noms de domaine est souvent utilis\u00e9e par des acteurs malveillants pour tenter d&#8217;\u00e9chapper \u00e0 la d\u00e9tection \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Matt Morrow. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/07\/attackers-abuse-swap-file-to-steal-credit-cards.html\" target=\"_blank\">dit<\/a>.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Il s&#8217;agit l\u00e0 d&#8217;une des nombreuses m\u00e9thodes d&#8217;\u00e9vasion de d\u00e9fense employ\u00e9es par l&#8217;acteur de la menace, qui inclut \u00e9galement l&#8217;utilisation de fichiers d&#8217;\u00e9change (\u00ab bootstrap.php-swapme \u00bb) pour charger le code malveillant tout en gardant le fichier d&#8217;origine (\u00ab bootstrap.php \u00bb) intact et exempt de logiciels malveillants.<\/p>\n<p>\u00ab Lorsque les fichiers sont modifi\u00e9s directement via SSH, le serveur cr\u00e9e une version \u00ab swap \u00bb temporaire au cas o\u00f9 l&#8217;\u00e9diteur plante, ce qui emp\u00eache la perte de l&#8217;int\u00e9gralit\u00e9 du contenu \u00bb, a expliqu\u00e9 Morrow.<\/p>\n<p>\u00ab Il est devenu \u00e9vident que les attaquants utilisaient un fichier d&#8217;\u00e9change pour maintenir le logiciel malveillant pr\u00e9sent sur le serveur et \u00e9chapper aux m\u00e9thodes normales de d\u00e9tection. \u00bb<\/p>\n<p>Bien qu&#8217;il ne soit pas actuellement clair comment l&#8217;acc\u00e8s initial a \u00e9t\u00e9 obtenu dans ce cas, on soup\u00e7onne qu&#8217;il impliquait l&#8217;utilisation de SSH ou d&#8217;une autre session de terminal.<\/p>\n<p>La divulgation survient alors que des comptes d&#8217;administrateur compromis sur des sites WordPress sont utilis\u00e9s pour installer un plugin malveillant qui se fait passer pour le plugin Wordfence l\u00e9gitime, mais qui est dot\u00e9 de capacit\u00e9s permettant de cr\u00e9er des utilisateurs administrateurs malveillants et de d\u00e9sactiver Wordfence tout en donnant une fausse impression que tout fonctionne comme pr\u00e9vu.<\/p>\n<p>\u00ab Pour que le plugin malveillant soit plac\u00e9 sur le site Web en premier lieu, le site Web aurait d\u00e9j\u00e0 d\u00fb \u00eatre compromis \u2013 mais ce logiciel malveillant pourrait certainement servir de vecteur de r\u00e9infection \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Ben Martin. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/07\/new-variation-of-wordfence-evasion-malware.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Le code malveillant ne fonctionne que sur les pages de l&#8217;interface d&#8217;administration de WordPress dont l&#8217;URL contient le mot \u00ab Wordfence \u00bb (pages de configuration du plugin Wordfence). \u00bb<\/p>\n<p>Il est conseill\u00e9 aux propri\u00e9taires de sites de limiter l&#8217;utilisation des protocoles courants tels que FTP, sFTP et SSH aux adresses IP de confiance, ainsi que de s&#8217;assurer que les syst\u00e8mes de gestion de contenu et les plugins sont \u00e0 jour.<\/p>\n<p>Il est \u00e9galement recommand\u00e9 aux utilisateurs d&#8217;activer l&#8217;authentification \u00e0 deux facteurs (2FA), d&#8217;utiliser un pare-feu pour bloquer les robots et d&#8217;appliquer des param\u00e8tres wp-config.php suppl\u00e9mentaires. <a rel=\"nofollow noopener\" href=\"https:\/\/developer.wordpress.org\/advanced-administration\/wordpress\/wp-config\/#disable-the-plugin-and-theme-editor\" target=\"_blank\">impl\u00e9mentations de s\u00e9curit\u00e9<\/a> tels que DISALLOW_FILE_EDIT et DISALLOW_FILE_MODS.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/magento-sites-targeted-with-sneaky.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 juillet 2024\ue804R\u00e9dactionD\u00e9tection des menaces \/ S\u00e9curit\u00e9 du site Web Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;utiliser des fichiers d&#8217;\u00e9change sur des sites Web compromis pour dissimuler un \u00e9cr\u00e9meur de carte de cr\u00e9dit persistant et r\u00e9colter des informations de paiement. La technique sournoise, observ\u00e9e par Sucuri sur la page de paiement d&#8217;un site [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1250794,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,938,9589,4168,49,4165,19808,133,21769,238584,200271,166429,238334,98340,164,238617,4172,4169,2783,166431,55294,4166,238583],"class_list":["post-1250793","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-carte","tag-cibles","tag-comment-pirater","tag-credit","tag-cyber-attaques","tag-dechange","tag-des","tag-fichiers","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-magento","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-par","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-sites","tag-skimmer","tag-sournois","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1250793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1250793"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1250793\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1250794"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1250793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1250793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1250793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}