Le groupe Magecart n'est pas le seul collectif de piratage ciblant massivement les magasins de e-commerce en ligne. Connu comme gardien, ce groupe de cybercriminalité a réussi à pénétrer dans les backends de la boutique en ligne pour modifier leur code source et insérer des scripts malveillants. Ces scripts ont volé les détails de la carte de paiement extraits des formulaires de paiement. Plus que 570 les boutiques en ligne ont été piratées au cours des trois dernières années.
Keeper Magecart Hacking Group Attacks
Le groupe de piratage Keeper a effectué un survol du Web, e-skimming, et des attaques similaires à Magecart. Des chercheurs Gemini qui ont analysé les attaques, nommé le groupe Keeper Magecart. Le nom Keeper dérive de l'utilisation répétée d'un seul domaine appelé garde-fichiers[.]org. Le domaine a été utilisé pour injecter du JavaScript voleur de cartes de paiement malveillant (JS) dans le code HTML des sites Web des victimes, ainsi que recevoir des données de carte récoltées.
Selon Gemini, le groupe fonctionne avec un réseau interconnecté de 64 domaines de l'attaquant et 73 domaines d'exfiltration. Presque 600 boutique en ligne à 55 les pays ont été ciblés d'ici avril 1, 2017. Les attaques se poursuivent.
Les domaines d'exfiltration et d'attaque Keeper utilisent des panneaux de connexion identiques et sont liés au même serveur dédié; ce serveur héberge à la fois la charge utile malveillante et les données exfiltrées volées sur les sites des victimes, Le rapport de Gemini dit.
Une autre conclusion clé du rapport est qu’au moins 85% des sites affectés opèrent sur le CMS Magento qui a été la cible principale des groupes de piratage Magecart. La plupart des boutiques en ligne piratées étaient situées aux États-Unis, suivi du Royaume-Uni et des Pays-Bas.
Les chercheurs ont également découvert un journal d'accès non sécurisé sur le panneau de commande Keeper qui contenait 184,000 cartes de paiement compromises avec horodatage allant de juillet 2018 à Avril 2019:
Extrapolation du nombre de cartes par neuf mois à la durée de vie globale de Keeper, et étant donné le prix médian Web sombre de $10 par carte compromise non présente (CNP) carte, ce groupe a probablement généré plus de $7 millions USD provenant de la vente de cartes de paiement compromises.
Pourquoi les attaques contre les boutiques en ligne Magento sont-elles si efficaces??
À la surprise de personne, la toute première raison s'exécute sur une version obsolète du système de gestion de contenu, dans ce cas Magento. La raison numéro deux utilise des modules complémentaires non corrigés. Une troisième option, comme l'ont souligné les chercheurs Gemini, «compromettre les informations d'identification des administrateurs par le biais d'injections de suite», ce qui rend les marchands de commerce électronique vulnérables à une variété de vecteurs d'attaque.
Keeper Magecart Capable de diverses attaques
Le niveau de difficulté des attaques du groupe Keeper Magecart varie. Gemini a découvert des milliers d'attaques, y compris une injection dynamique simple de code malveillant via un domaine malveillant, et tirer parti des services de stockage et de la stéganographie de Google Cloud ou GitHub pour intégrer du code malveillant dans les logos et les images des domaines actifs afin de voler les données des cartes de paiement. La partie la plus gênante, cependant, c'est que ce groupe continue d'évoluer et d'améliorer ses techniques malveillantes.
En Avril 2020, le groupe Magecart a introduit un nouveau skimmer connu sous le nom de MakeFrame. Selon les chercheurs de RiskIQ, les utilisations de l'écumoire IFRAMEs données récolte, d'où vient le nom.
Le skimmer MakeFrame a d'abord été détectée à la fin de Janvier. Depuis, plusieurs versions ont été capturés dans la nature, présentant différents niveaux de faux-fuyants. Dans certains cas,, les chercheurs disent qu'ils ont vu MakeFrame en utilisant des sites compromis pour trois de ses fonctions d'hébergement le code d'écrémage lui-même, le chargement du skimmer sur d'autres sites compromis, et exfiltration les données volées.
"Il y a plusieurs éléments du skimmer MakeFrame qui nous sont familiers, mais il est cette technique en particulier qui nous rappelle Groupe Magecart 7,»A déclaré RiskIQ.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: