Magazine Gadgets

Les pirates de Magecart cachent des données de carte de crédit volées dans des images pour une exfiltration évasive

Publié le 10 juillet 2021 par Mycamer
Piratage du chariot magique

Les acteurs de la cybercriminalité faisant partie du groupe Magecart se sont accrochés à une nouvelle technique d’obscurcissement du code malveillant à l’intérieur blocs de commentaires et encoder les données de carte de crédit volées dans des images et d’autres fichiers hébergés sur le serveur, démontrant une fois de plus comment les attaquants sont l’amélioration continue leurs chaînes d’infection pour échapper à la détection.

“Une tactique utilisée par certains acteurs de Magecart est le dumping des détails de carte de crédit glissés dans des fichiers image sur le serveur [to] éviter d’éveiller les soupçons”, analyste de la sécurité Sucuri, Ben Martin, mentionné dans une rédaction. « Ceux-ci peuvent être téléchargés ultérieurement à l’aide d’un simple OBTENIR la demande à une date ultérieure.”

Équipes de débordement de pile

MageCart est le terme générique donné à plusieurs groupes de cybercriminels ciblant les sites Web de commerce électronique dans le but de piller les numéros de carte de crédit en injectant des écumeurs JavaScript malveillants et en les vendant sur le marché noir.

Sucuri a attribué l’attaque à Magecart Groupe 7 sur la base des chevauchements dans les tactiques, techniques et procédures (TTP) adoptées par l’acteur menaçant.

Piratage du chariot magique

Dans un cas d’infection d’un site Web de commerce électronique Magento enquêté par la société de sécurité appartenant à GoDaddy, il a été constaté que le skimmer avait été inséré dans l’un des fichiers PHP impliqués dans le processus de paiement sous la forme d’un Encodé en Base64 comprimé chaîne.

Empêcher les attaques de ransomware

De plus, pour masquer davantage la présence de code malveillant dans le fichier PHP, les adversaires auraient utilisé une technique appelée concaténation dans laquelle le code était combiné à des morceaux de commentaires supplémentaires qui “ne font rien fonctionnellement mais ajoutent une couche d’obscurcissement ce qui le rend un peu plus difficile à détecter.”

En fin de compte, le but des attaques est de capturer les détails de la carte de paiement des clients en temps réel sur le site Web compromis, qui sont ensuite enregistrés dans un faux fichier de feuille de style (.CSS) sur le serveur et téléchargés par la suite à la fin de l’acteur de la menace par faire une requête GET.

“MageCart est une menace toujours croissante pour les sites Web de commerce électronique”, a déclaré Martin. « Du point de vue des attaquants : les récompenses sont trop importantes et les conséquences inexistantes, pourquoi ne le feraient-ils pas ? Des fortunes sont littéralement faites [by] voler et vendre des cartes de crédit volées sur le marché noir.”


Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines