Les vacances d'hiver approchent, et il en va de même pour les nouveaux logiciels malveillants. Les cybercriminels ont récemment publié des campagnes distribuant le malware Grelos, une variante Magecart courante.
Analysé par les chercheurs de RiskIQ, cette souche comprend une refonte du code original repéré pour la première fois dans 2015. Grelos se compose d'un chargeur et d'un skimmer qui utilise une obfuscation base64 qui cache un skimmer à deux étages.
Le skimmer Grelos en détail
En fait, l'écumeur Grelos existe depuis 2015, avec sa version originale associée aux groupes Magecart 1 et 2, le rapport souligne. Il est à noter que certains acteurs de la menace continuent d'utiliser certains des domaines d'origine déployés pour charger l'écumeur.. Mais comment l'équipe de recherche a-t-elle découvert cette dernière variante?
L'équipe est tombée sur un cookie unique qui les a connectés à une variante récente du skimmer. Apparemment, l'écumeur a une version plus récente qui utilisait un faux formulaire de paiement pour voler des données de paiement. Malheureusement, des dizaines de sites ont déjà été compromis.
“Dans de nombreux compromis Magecart récents, nous avons constaté des chevauchements croissants dans l'infrastructure utilisée pour héberger différents skimmers qui semblent être déployés par des groupes indépendants qui utilisent diverses techniques et structures de code.,” RiskIQ dit.
L'infrastructure qui se chevauchent comprend également un fournisseur d'hébergement utilisé par certains domaines d'écrémage.. Ces domaines chargent plusieurs, skimmers indépendants, comme le skimmer Inter et diverses versions de Grelos. RiskIQ “même vu des domaines charger le skimmer Inter et le skimmer Grelos à partir de la même adresse IP.” Le modèle signifie peut-être que plusieurs groupes d'écrémage utilisent la même infrastructure pour héberger les domaines d'écrémage et acheter des services d'hébergement auprès du même fournisseur tiers..
Les acheteurs en ligne doivent être extrêmement prudents avec l'écrémage des logiciels malveillants
Les chercheurs en sécurité mettent en garde contre une augmentation des attaques d'écrémage à l'approche de la saison des achats des Fêtes. Cette année, les achats de cadeaux en ligne peuvent être encore plus dangereux avec la pandémie actuelle de Covid-19 et les personnes enfermées à la maison.
“La meilleure défense contre Magecart est de se tenir au courant de leurs tactiques et de connaître le code de votre site Web., y compris le code tiers. Corriger immédiatement les systèmes vulnérables peut éviter de nuire à vos clients et, comme nous l'avons vu, une grosse amende,” RiskIQ conclut.
De nombreux groupes de piratage inspirés de Magecart dans la nature
En juillet 2020, Les pirates de Keeper Magecart ont réussi à s'introduire dans les backends de la boutique en ligne pour changer leur code source et insérer des scripts malveillants. Les scripts ont volé les détails de la carte de paiement extraits des formulaires de paiement. Plus que 570 les boutiques en ligne ont été piratées au cours des trois dernières années.
Le groupe de piratage Keeper a effectué un survol du Web, e-skimming, et des attaques similaires à Magecart. Les chercheurs Gemini qui ont analysé les attaques ont nommé le groupe Keeper Magecart. Le nom Keeper provient de l'utilisation répétée d'un seul domaine appelé fileskeeper[.]org, utilisé pour injecter du JavaScript malveillant de vol de carte dans les sites Web des victimes’ Code HTML et réception des données de carte récoltées.