Environ 500 e-commerce Il a récemment été découvert que des sites Web avaient été compromis par des pirates informatiques qui avaient installé un écumeur de carte de crédit qui volait subrepticement des données sensibles lorsque les visiteurs tentaient d’effectuer un achat.
Un rapport publié mardi n’est que le dernier en date concernant Magecart, un terme générique donné aux groupes criminels concurrents qui infectent les sites de commerce électronique avec des skimmers. Au cours des dernières années, des milliers de sites ont été touchés par des exploits qui les ont amenés à exécuter du code malveillant. Lorsque les visiteurs saisissent les détails de la carte de paiement lors de l’achat, le code envoie ces informations aux serveurs contrôlés par l’attaquant.
Sansec, la société de sécurité qui a découvert le dernier lot d’infections, a déclaré que les sites compromis chargeaient tous des scripts malveillants hébergés sur le domaine naturalfreshmall[.]com.
« L’écumoire Natural Fresh affiche une fausse fenêtre de paiement, déjouant la sécurité d’un formulaire de paiement hébergé (conforme à la norme PCI) », ont déclaré des chercheurs du cabinet. a écrit sur Twitter. « Les paiements sont envoyés à https://naturalfreshmall[.]com/paiement/Paiement.php. »
Les pirates ont ensuite modifié des fichiers existants ou planté de nouveaux fichiers qui fournissaient pas moins de 19 portes dérobées que les pirates pourraient utiliser pour conserver le contrôle des sites au cas où le script malveillant serait détecté et supprimé et que le logiciel vulnérable serait mis à jour. La seule façon de désinfecter complètement le site est d’identifier et de supprimer les portes dérobées avant de mettre à jour le CMS vulnérable qui a permis au site d’être piraté en premier lieu.
Sansec a travaillé avec les administrateurs des sites piratés pour déterminer le point d’entrée commun utilisé par les attaquants. Les chercheurs ont finalement déterminé que les attaquants combinaient un exploit d’injection SQL avec une attaque d’injection d’objet PHP dans un plug-in Magento appelé Quickview. Les exploits ont permis aux attaquants d’exécuter du code malveillant directement sur le serveur Web.
Ils ont accompli cette exécution de code en abusant de Quickview pour ajouter une règle de validation à la table customer_eav_attribute et en injectant une charge utile qui a amené l’application hôte à créer un objet malveillant. Ensuite, ils se sont inscrits en tant que nouvel utilisateur sur le site.
« Cependant, le simple fait de l’ajouter à la base de données n’exécutera pas le code », ont expliqué les chercheurs de Sansec. « Magento a en fait besoin de désérialiser les données. Et il y a l’ingéniosité de cette attaque : en utilisant les règles de validation des nouveaux clients, l’attaquant peut déclencher une désérialisation en parcourant simplement la page d’inscription de Magento.
Il n’est pas difficile de trouver des sites qui restent infectés plus d’une semaine après que Sansec a signalé la campagne pour la première fois sur Twitter. Au moment où ce message était en ligne, Bedexpress[.]com a continué à contenir cet attribut HTML, qui extrait JavaScript du voyou naturalfreshmall[.]domaine com.
Les sites piratés exécutaient Magento 1, une version de la plate-forme de commerce électronique qui a été retirée en juin 2020. Le pari le plus sûr pour tout site utilisant encore ce package obsolète est de passer à la dernière version d’Adobe Commerce. Une autre option consiste à installer les correctifs open source disponibles pour Magento 1 à l’aide du logiciel DIY du projet OpenMage ou avec le support commercial de Mage-One.
Il est généralement difficile pour les gens de détecter les écumeurs de cartes de paiement sans formation spéciale. Une option consiste à utiliser un logiciel antivirus tel que Malwarebytes, qui examine en temps réel le JavaScript servi sur un site Web visité. Les gens peuvent également vouloir éviter les sites qui semblent utiliser des logiciels obsolètes, bien que ce ne soit guère une garantie que le site est sûr.
Cette histoire est apparue à l’origine sur Ars Technica.
Plus de grandes histoires WIRED