Les cybercriminels semblent travailler sur une nouvelle façon de voler des données de cartes de paiement. Selon les chercheurs de sécurité IBM, un groupe de pirates est en train de développer des scripts malveillants à utiliser contre la couche de qualité commerciale 7 (L7) routeurs.
Cela tout à fait changer les méthodes observées dans les attaques d'écrémage telles que Magecart, comme jusqu'à présent le code malveillant utilisé par des pirates a été livré au niveau d'un site Web via JavaScript ou fichiers PHP. Modification de la surface d'attaque peut être considérée comme une évolution dans les attaques fonctionnant sous Magecart.
Tout d'abord, nous allons voir ce qu'est exactement un couche 7 routeur est. Il est un type de commerce, routeur lourd typique pour les grands réseaux, ceux du gouvernement inclus. La différence à un autre routeur est qu 'une couche 7 appareil est capable de manipuler le trafic au niveau de l'application, également connu sous le niveau 7, du modèle de réseau OSI. En d'autres termes, le routeur peut répondre à la circulation non seulement selon l'adresse IP, mais aussi les cookies, noms de domaine, les types de navigateurs, etc.
Si, qu'est-ce que les chercheurs d'IBM dans leur analyse découvrir?
L'équipe a identifié une activité malveillante qu'ils attribuent à la Magecart 5 groupe cybercriminel. La recherche montre que les pirates Magecart sont « testing probablement du code malicieux conçu pour être injecté dans les fichiers JavaScript bénignes chargés par couche de qualité commerciale 7 routeurs, routersthat sont généralement utilisés par les aéroports, casinos, hôtels et resorts ». Le scénario d'attaque analysée révèle que l'attaque contre ce type de routeurs peut permettre l'injection de publicité malveillante, ainsi que l'accès à d'autres parties du réseau compromis.
Comment une attaque contre les routeurs L7 se?
Ces attaques sont basées sur l'idée que les attaquants miserait routeurs L7 et abusent de leurs fonctions de manipulation de trafic pour injecter scripts malveillants dans les sessions de navigateur des utilisateurs actifs. En fait, IBM dit que le groupe a récemment injecté Magecart code malveillant dans un module de curseur mobile open source:
MG5 utilise généralement JavaScriptandhas injecté probablement son code dans un JSlibrary servi aux développeurs d'applications mobiles. Ce code source ouvert est fourni gratuitement, outil sous licence MIT designedto fournir des fonctionnalités sur les appareils mobiles glisser. En infectant ce code à sa source, MG5 peut infecter et compromettre toutes les applications qui intègrent ce module dans leurs données de Code et les utilisateurs dérobent qui finissent par télécharger les applications piégées.
En outre, les chercheurs les scrips se sont emparés de semblé être créé spécifiquement pour extraire les détails de carte de paiement de magasins en ligne, et télécharger des informations récoltées sur un serveur Web distant. Il est curieux de noter que les scripts ont été découverts parce que les attaquants ont transféré les fichiers sur VirusTotal, qui a été peut-être fait pour des raisons de test pour voir si le code serait détecté par les moteurs antivirus.
IBM a découvert 17 ces scripts, et les groupés en 5 sections en fonction de leur but.
Les chercheurs ont étudié dans les règles YARA
Les chercheurs ont étudié dans les règles de YARA (un outil qui permet une approche à base de règles pour créer des descriptions des familles de malwares en fonction des modèles textuels ou binaires) et la COI (indicateur de compromis) associé au groupe Magecart 5 activité. Une alerte VirusTotal d'une des règles Yara analysées initialement identifié deux échantillons de fichiers ONU-obscurcie qui étaient très semblables à des échantillons partagés dans les analyses précédentes de l'activité Magecart.
Les experts ont remarqué que ces deux échantillons, qui a partagé une convention de dénomination commune, ont été identifiés comme le code écrémage JavaScript. La convention de nommage des fichiers récurrents, où la chaîne « test4 » répété, est également venu du même membre de téléchargement et l'emplacement source dans Murino, Russie, le rapport.
Qu'est-ce que les utilisateurs peuvent faire pour prévenir ces attaques?
Malheureusement, il n'y a pas beaucoup d'un utilisateur peut faire pour contourner une attaque au niveau du routeur. La seule chose certaine est d'éviter le shopping dans les magasins en ligne suspects ou des réseaux publics, comme ceux des hôtels, centres commerciaux, et aéroports. Cependant, achats de la maison présente aussi des risques.
Il y a encore de l'espoir, les chercheurs de sécurité ont recommandé que l'on appelle une carte virtuelle. Cette approche signifie que l'utilisateur obtient un numéro de carte d'un paiement utilisé pour une seule transaction.
Qu'est-ce qu'une carte virtuelle? Il est une carte de crédit prépayée, qui permet le shopping gratuitement en ligne. La carte virtuelle dispose d'un nombre et ne dispose pas d'un support physique. Avec cette carte les utilisateurs peuvent compter sur la sécurité et la protection de leurs paiements en ligne.
Cela signifie que même si le numéro de carte est utilisé sur un site dangereux, le numéro de carte ne sert à rien une fois la transaction terminée. L'inconvénient de la carte virtuelle est qu'il est toujours pas largement disponible aux utilisateurs dans le monde entier, et il ne peut pas être facile d'obtenir un.
Le changement de tactique des pirates Magecart dans leurs opérations d'écrémage est pas surprenant, comme les attaques au niveau du routeur ne sont pas invisibles. routeurs ont été ciblés non sécurisés dans de nombreuses attaques, comme hameçonnage, cryptomining, et les téléchargements de logiciels malveillants.
En bref, sécurité du routeur ne doit pas être négligé. Pour garder le coffre-fort du routeur, vous devriez vérifier si le routeur dispose d'une clé ou non. Si vous n'avez pas configuré une touche pour le routeur, alors vous pouvez le faire en utilisant l'écran de la configuration de sécurité sans fil qui est présent dans le routeur. Il existe d'autres conseils pour la sécurité du routeur que vous devriez envisager d'appliquer.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: