Les chercheurs en sécurité ont rencontré une campagne malveillante qui utilise tout à fait convaincante, faux domaines Google pour tromper les visiteurs du site en faisant confiance aux pages pour effectuer des transactions en ligne.
Plus précisement, la campagne a été signalé par des chercheurs Sucuri qui ont été contactés par un propriétaire de site Magento. Le propriétaire du site « avait été mis à l'index et l'expérience a été McAfee SiteAdvisor « Site dangereux » avertissements ».
L'enquête de Sucuri « a révélé que le site avait été infecté par un chargement de skimmer de carte de crédit JavaScript du domaine internationalisé malveillants google-analytics[.]avec (ou XN - google-analytcs-XPB[.]com en ASCII).
Comment l'infection du domaine lieu?
Les pirates informatiques « délibérément choisi le nom de domaine avec l'intention de tromper les victimes sans méfiance ». L'astuce est que les utilisateurs en ligne voient un nom de renom tels que Google et supposent qu'ils sont sûrs de procéder, alors qu'en fait, la vérité est qu'ils sont sur le point de charger un domaine malveillant.
Cette méthode délicate est également courante dans les attaques de phishing où elle est déployée pour duper les victimes dans la pensée une page de phishing est en fait légitime, les chercheurs expliquent.
L'enquête révèle également que la saisie des données d'entrée est similaire à d'autres cartes de crédit Magento écumoires. En bref, le mécanisme utilise le JavaScript chargé de capturer des données d'entrée par l'intermédiaire de l'entrée et document.getElementsByTagName, ou par l'intermédiaire des noms d'éléments stockés pour la capture des données déroulant du menu.
L'une des parties intéressantes de cette campagne est que le code est conçu pour changer de tactique en fonction de l'utilisation d'outils de développement dans les navigateurs Chrome ou Firefox. Si les outils de développement sont en place, l'écumoire ne tentera pas de saisir toute information.
Le skimmer prend en charge de nombreuses passerelles de paiement, et dans le cas où la condition mentionnée ci-dessus est satisfaite, les informations volées sont envoyées à un serveur distant, déguisé en un autre domaine Google – google[.]ssl[.]lnfo[.]cc.
Pour protéger votre site de commerce électronique, les conseils d'experts pour les propriétaires de site Magento est d'installer les derniers correctifs de sécurité dès qu'ils deviennent disponibles. Si vous ne parvenez pas à mettre à jour votre site, vous pouvez tirer parti d'un pare-feu d'application Web pour patcher pratiquement toutes les vulnérabilités, Sucure ajoute.