Accueil > Nouvelles Cyber > Les pirates de Magecart insèrent du code d'écrémage dans une bibliothèque JavaScript tierce
CYBER NOUVELLES

Magecart Les pirates informatiques Insérer le code JavaScript Dans un écumage tiers Bibliothèque

Rappelez-vous Magecart?

En Novembre l'année dernière, les chercheurs en sécurité ont découvert que le logiciel malveillant infâme, connu pour carte de crédit d'exploitation de formulaires de caisse, [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]pourrait réinfecter même après nettoyage.




Maintenant, Magecart est à nouveau actif dans les campagnes notoires où 277 sites de commerce électronique ont été infectées dans des attaques à la chaîne d'approvisionnement. Qu'est-ce que cela signifie?

De nouvelles campagnes Magecart Détecté

Les chercheurs en sécurité de Trend Micro RiskIQ et est tombé sur un nouveau sous-groupe connu sous le nom du groupe Magecart 12 qui est l'infection des sites Web ciblés en insérant le code d'écrémage dans une bibliothèque JavaScript tiers. Cette technique charge le code malveillant dans tous les sites qui utilisent la bibliothèque.

Des recherches plus approfondies sur ces activités a révélé que le code d'écrémage n'a pas été injecté directement dans les sites Web de commerce électronique, mais à une bibliothèque JavaScript tiers par Adverline, une société de publicité en ligne français, que nous communique rapidement avec. Adverline a traité l'incident et a immédiatement réalisé les opérations de remise en état nécessaires relation avec le CERT La Poste, Trend Micro dit chercheurs dans leur rapport.

les chercheurs RiskIQ ont également suivi de près le groupe Magecart. Apparemment, Groupe 12 créé son infrastructure en Septembre l'année dernière, domaines ont été enregistrés, Les certificats SSL ont été créés par LetsEncrypt, et le backend écrémage a été installé. Les pirates utilisent également un petit extrait avec une URL encodée base64 pour la ressource qui est décodé lors de l'exécution et injecté dans la page, Les points saillants du rapport de RiskIQ.

en relation: [wplinkpreview url =”https://sensorstechforum.com/magentocore-skimmer-infects-60-stores-per-day/”]MagentoCore: Infecte les Skimmer les plus agressifs 60 Magasins par jour

Le groupe a réussi à faire des compromis sites ciblés par Adverline à la fin de 2018.
Il convient de noter que le code de l'écrémage du groupe Magecart 12 est légèrement différent, avec "une tournure intéressante» - il se protège de désobfuscation et l'analyse en effectuant un contrôle d'intégrité sur elle-même.

En ce qui concerne le script d'injection réelle, il arrive en deux étapes, tous deux conçus pour effectuer une vérification auto-intégrité. Voici comment les deux étapes ont lieu, comme expliqué par RiskIQ:

– La totalité de la première étape est exécutée en fonction, qui est globalement définie (c'est important)
– La deuxième étape est codée et remplie avec des données inutiles, qui est écrit dans un nouvel objet div
– Ces données de deuxième étape est alors unpadded, décodé, et finalement exécuté
– Le code exécuté saisit une référence à lui-même (qui a été mis à l'échelle mondiale) et est soumis à une fonction de hachage qui est la mise en œuvre de JavaScript hashCode Java.
– Si la vérification valide l'étape suivante est exécutée.

Heureusement, Adverline a déjà résolu le problème en supprimant le code malveillant de la bibliothèque JavaScript affectée.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord