Un nouvel ensemble d’attaques par écrémage Web a été découvert par la société de surveillance JavaScript Jscrambler, y compris des attaques utilisant des méthodes qui seraient méconnaissables.
Dans un article de blog (s’ouvre dans un nouvel onglet), la société a expliqué comment elle avait détecté une attaque d’écrémage Web sur un service de marketing et d’analyse Web à prix réduit, survenue grâce à l’acquisition de son nom de domaine (Cockpit). Le nom de domaine n’est plus utilisé depuis 2014.
Les écumeurs du groupe X ont pu compromettre plus de 40 sites de commerce électronique (s’ouvre dans un nouvel onglet)et les données collectées à partir des sites ont été encodées, cryptées et envoyées à un serveur d’exfiltration basé en Russie, selon Jscrambler.
Attaques d’écrémage Web actives
Le fournisseur mentionne qu’une fois que les cybercriminels ont réussi à exfiltrer les données des éléments originaux de la page Web, il injecte ses propres faux éléments en se faisant passer pour un formulaire de soumission de carte de crédit.
Grâce à l’utilisation de cette méthode de piratage, toutes les données insérées par l’utilisateur continueront d’être collectées et divulguées chaque fois qu’il y aura un clic sur la page.
Jscrambler a également trouvé deux autres groupes d’écrémage Web – le groupe Y et le groupe Z, le groupe Y utilisant apparemment un écumeur similaire au groupe X, tandis que le groupe Z a utilisé une structure de serveur modifiée pour ses attaques.
L’écrémage Web, également connu sous le nom d’attaques Magecart, se produit lorsque des groupes de pirates utilisent des techniques d’écrémage en ligne dans le but de voler des données personnelles sur des sites Web. Les pirates informatiques ciblent principalement les informations de carte de crédit sur des sites qui acceptent les paiements en ligne ou les informations personnelles des clients.
Le billet de blog mentionne qu’il est possible que certains sites Web utilisent un système de gestion de contenu (CMS (s’ouvre dans un nouvel onglet)) ou un fournisseur de générateur de site Web qui injectait le script tiers dans leurs pages.
« Dans ce cas, ils pourraient ne pas être en mesure de supprimer la bibliothèque de leurs sites Web en raison d’autorisations restreintes ou d’un manque de connaissances », a écrit Jscrambler.
En novembre 2022, le National Cyber Security Center (NCSC) du Royaume-Uni a alerté plus de 4 000 sites Web de petites entreprises sur le portails de paiement compromis (s’ouvre dans un nouvel onglet) sur leurs plateformes de commerce électronique, avant le Black Friday – la période la plus occupée pour les détaillants en ligne.