{"id":1544249,"date":"2025-02-18T04:17:44","date_gmt":"2025-02-18T06:17:44","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour-deployer-des-skimmers-de-paiement\/"},"modified":"2025-02-18T04:17:49","modified_gmt":"2025-02-18T06:17:49","slug":"les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour-deployer-des-skimmers-de-paiement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour-deployer-des-skimmers-de-paiement\/","title":{"rendered":"Les cybercriminels exploitent l&#8217;\u00e9v\u00e9nement onerror dans des balises d&#8217;image pour d\u00e9ployer des skimmers de paiement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ piratage de site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont signal\u00e9 une campagne de logiciels malveillants en vol de cartes de cr\u00e9dit qui a \u00e9t\u00e9 observ\u00e9e ciblant les sites de commerce \u00e9lectronique ex\u00e9cutant Magento en d\u00e9guisant le contenu malveillant dans les balises d&#8217;image dans le code HTML afin de rester sous le radar.<\/p>\n<p>Magecart est le nom donn\u00e9 \u00e0 un logiciel malveillant capable de voler des informations de paiement sensibles sur les sites d&#8217;achat en ligne. Les attaques sont connues pour utiliser un large \u00e9ventail de techniques &#8211; \u00e0 la fois sur c\u00f4t\u00e9 client et serveur &#8211; pour compromettre les sites Web et d\u00e9ployer des skimmers de carte de cr\u00e9dit pour faciliter le vol.<\/p>\n<p>En r\u00e8gle g\u00e9n\u00e9rale, ces logiciels malveillants ne sont d\u00e9clench\u00e9s ou charg\u00e9s que lorsque les utilisateurs visitent les pages de caisse pour saisir les d\u00e9tails de la carte de cr\u00e9dit en servant un faux formulaire ou en capturant les informations saisies par les victimes en temps r\u00e9el.<\/p>\n<p>Le terme Magecart est une r\u00e9f\u00e9rence \u00e0 la cible d&#8217;origine de ces groupes de cybercriminalit\u00e9, la plate-forme Magento qui offre des fonctionnalit\u00e9s de caisse et de panier pour les d\u00e9taillants en ligne. Au fil des ans, de telles campagnes ont adapt\u00e9 leurs tactiques en dissimulant du code malveillant par le codage et l&#8217;obscurcissement dans des sources apparemment inoffensives, telles que de fausses images, des fichiers audio, des favicons et m\u00eame des pages d&#8217;erreur 404.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Dans ce cas, les logiciels malveillants affectant le client suivent le m\u00eame objectif &#8211; rester cach\u00e9&#8221;, le chercheur de Sucuri Kayleigh Martin <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/02\/magento-credit-card-stealer-disguised-in-an-tag.html\" target=\"_blank\">dit<\/a>. &#8220;Il le fait en d\u00e9guisant un contenu malveillant \u00e0 l&#8217;int\u00e9rieur d&#8217;un <a rel=\"noopener nofollow\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTML\/Element\/img\" target=\"_blank\"><img\/>  \u00e9tiqueter<\/a>ce qui facilite la n\u00e9gligence. &#8220;<\/p>\n<p>&#8220;C&#8217;est courant pour <img\/> Des balises pour contenir des cha\u00eenes longues, en particulier lors de la r\u00e9f\u00e9rence des chemins de fichier image ou des images cod\u00e9es de base64, ainsi que des attributs suppl\u00e9mentaires comme la hauteur et la largeur. &#8220;<\/p>\n<p>La seule diff\u00e9rence est que le <img\/> La balise, dans ce cas, agit comme un leurre, contenant du contenu cod\u00e9 de base64 qui pointe vers le code JavaScript qui est activ\u00e9 lorsqu&#8217;un <a rel=\"noopener nofollow\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/API\/Window\/error_event\" target=\"_blank\">\u00c9v\u00e9nement ONERROR<\/a> est d\u00e9tect\u00e9. Cela rend l&#8217;attaque beaucoup plus sournoise, car le navigateur fait intrins\u00e8quement fait confiance \u00e0 la fonction ONERROR.<\/p>\n<p>&#8220;Si une image ne se charge pas, la fonction ONERROR d\u00e9clenchera le navigateur pour afficher une ic\u00f4ne d&#8217;image cass\u00e9e \u00e0 la place&#8221;, a d\u00e9clar\u00e9 Martin. &#8220;Cependant, dans ce contexte, l&#8217;\u00e9v\u00e9nement ONERROR est d\u00e9tourn\u00e9 pour ex\u00e9cuter JavaScript au lieu de simplement g\u00e9rer l&#8217;erreur.&#8221;<\/p>\n<p>De plus, l&#8217;attaque offre un avantage suppl\u00e9mentaire \u00e0 menacer les acteurs <img\/> L&#8217;\u00e9l\u00e9ment HTML est g\u00e9n\u00e9ralement consid\u00e9r\u00e9 comme inoffensif. Le malware, pour sa part, v\u00e9rifie si l&#8217;utilisateur est sur la page de paiement et attend que les utilisateurs sans m\u00e9fiance cliquent sur le bouton Soumettre pour siphon les informations de paiement sensibles les entr\u00e9es \u00e0 un serveur externe.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739859463_660_Les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739859463_660_Les-cybercriminels-exploitent-levenement-onerror-dans-des-balises-dimage-pour.png\" alt=\"D\u00e9ployer des \u00e9cumeurs de paiement\" border=\"0\" data-original-height=\"428\" data-original-width=\"1410\" title=\"D\u00e9ployer des \u00e9cumeurs de paiement\"\/><\/a><\/div>\n<p>Le script est con\u00e7u pour ins\u00e9rer dynamiquement une forme malveillante avec trois champs, le num\u00e9ro de carte, la date d&#8217;expiration et le CVV, dans le but de l&#8217;exfiltration[.]com.<\/p>\n<p>&#8220;L&#8217;attaquant atteint deux objectifs impressionnants avec ce script malveillant: \u00e9viter une d\u00e9tection facile par les scanners de s\u00e9curit\u00e9 en codant pour le script malveillant dans un <img\/> Tag, et garantir que les utilisateurs finaux ne remarquent pas des changements inhabituels lorsque le formulaire malveillant est ins\u00e9r\u00e9, restez non d\u00e9tect\u00e9 le plus longtemps possible &#8220;, a d\u00e9clar\u00e9 Martin.<\/p>\n<p>&#8220;L&#8217;objectif des attaquants qui ciblent des plates-formes comme Magento, WooCommerce, Prestashop et d&#8217;autres est de rester non d\u00e9tect\u00e9e aussi longtemps que possible, et le malware qu&#8217;ils injectent dans les sites est souvent plus complexe que les morceaux de logiciels malveillants plus souvent trouv\u00e9s sur d&#8217;autres sites.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le d\u00e9veloppement intervient alors que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 du site Web a d\u00e9taill\u00e9 un incident impliquant un site WordPress qui a exploit\u00e9 le r\u00e9pertoire Mu-Plugins (ou Plugins \u00e0 utiliser) pour implanter des d\u00e9lais et ex\u00e9cuter du code PHP malveillant de mani\u00e8re furtive.<\/p>\n<p>&#8220;Contrairement aux plugins r\u00e9guliers, les plugins incontournables sont automatiquement charg\u00e9s sur chaque charge de page, sans avoir besoin d&#8217;activation ou apparaissant dans la liste des plugins standard&#8221;, Puja Srivastava <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/02\/hidden-backdoors-uncovered-in-wordpress-malware-investigation.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Les attaquants exploitent ce r\u00e9pertoire pour maintenir la persistance et l&#8217;\u00e9vasion de la d\u00e9tection, car les fichiers plac\u00e9s ici s&#8217;ex\u00e9cutent automatiquement et ne sont pas facilement d\u00e9sactiv\u00e9s \u00e0 partir du panneau d&#8217;administration WordPress.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cybercriminals-exploit-onerror-event-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 f\u00e9vrier 2025\ue804Ravie LakshmananMalware \/ piratage de site Web Les chercheurs en cybers\u00e9curit\u00e9 ont signal\u00e9 une campagne de logiciels malveillants en vol de cartes de cr\u00e9dit qui a \u00e9t\u00e9 observ\u00e9e ciblant les sites de commerce \u00e9lectronique ex\u00e9cutant Magento en d\u00e9guisant le contenu malveillant dans les balises d&#8217;image dans le code HTML afin de rester sous [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1544250,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,83471,4168,79002,274264,4161,274263,6124,37976,429,9886,133,15432,8736,65,4705,274267,4160,281182,2623,185,238617,246491,4172,249580,79016,4166,4164],"class_list":["post-1544249","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-balises","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-cybercriminels","tag-dans","tag-deployer","tag-des","tag-dimage","tag-exploitent","tag-les","tag-levenement","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-onerror","tag-paiement","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-skimmers","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544249","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1544249"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544249\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1544250"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1544249"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1544249"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1544249"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}