Rappelez-vous Magecart?
En Novembre l'année dernière, les chercheurs en sécurité ont découvert que le logiciel malveillant infâme, connu pour carte de crédit d'exploitation de formulaires de caisse, [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]pourrait réinfecter même après nettoyage.
Maintenant, Magecart est à nouveau actif dans les campagnes notoires où 277 sites de commerce électronique ont été infectées dans des attaques à la chaîne d'approvisionnement. Qu'est-ce que cela signifie?
De nouvelles campagnes Magecart Détecté
Les chercheurs en sécurité de Trend Micro RiskIQ et est tombé sur un nouveau sous-groupe connu sous le nom du groupe Magecart 12 qui est l'infection des sites Web ciblés en insérant le code d'écrémage dans une bibliothèque JavaScript tiers. Cette technique charge le code malveillant dans tous les sites qui utilisent la bibliothèque.
Des recherches plus approfondies sur ces activités a révélé que le code d'écrémage n'a pas été injecté directement dans les sites Web de commerce électronique, mais à une bibliothèque JavaScript tiers par Adverline, une société de publicité en ligne français, que nous communique rapidement avec. Adverline a traité l'incident et a immédiatement réalisé les opérations de remise en état nécessaires relation avec le CERT La Poste, Trend Micro dit chercheurs dans leur rapport.
les chercheurs RiskIQ ont également suivi de près le groupe Magecart. Apparemment, Groupe 12 créé son infrastructure en Septembre l'année dernière, domaines ont été enregistrés, Les certificats SSL ont été créés par LetsEncrypt, et le backend écrémage a été installé. Les pirates utilisent également un petit extrait avec une URL encodée base64 pour la ressource qui est décodé lors de l'exécution et injecté dans la page, Les points saillants du rapport de RiskIQ.
Le groupe a réussi à faire des compromis sites ciblés par Adverline à la fin de 2018.
Il convient de noter que le code de l'écrémage du groupe Magecart 12 est légèrement différent, avec "une tournure intéressante» - il se protège de désobfuscation et l'analyse en effectuant un contrôle d'intégrité sur elle-même.
En ce qui concerne le script d'injection réelle, il arrive en deux étapes, tous deux conçus pour effectuer une vérification auto-intégrité. Voici comment les deux étapes ont lieu, comme expliqué par RiskIQ:
– La totalité de la première étape est exécutée en fonction, qui est globalement définie (c'est important)
– La deuxième étape est codée et remplie avec des données inutiles, qui est écrit dans un nouvel objet div
– Ces données de deuxième étape est alors unpadded, décodé, et finalement exécuté
– Le code exécuté saisit une référence à lui-même (qui a été mis à l'échelle mondiale) et est soumis à une fonction de hachage qui est la mise en œuvre de JavaScript hashCode Java.
– Si la vérification valide l'étape suivante est exécutée.
Heureusement, Adverline a déjà résolu le problème en supprimant le code malveillant de la bibliothèque JavaScript affectée.