Des chercheurs en cybersécurité d'Akamai ont découvert une nouvelle façon, plutôt créative, pour les pirates de dissimuler des skimmers de cartes de crédit sur des sites de commerce électronique.
Habituellement, les pirates cachent un code malveillant quelque part sur la page de paiement et volent des informations de paiement sensibles (numéros de carte de crédit, noms complets, dates d'expiration, etc).
Dans ce cas, Akamai a trouvé le code malveillant caché dans la page 404 d'un site.
Une approche innovante
Pratiquement tous les sites web sur Internet ont une page 404 - elle s'affiche lorsqu'un visiteur tente de consulter un site web qui n'existe pas, soit parce que le lien est rompu, soit parce que la page a été déplacée, ou autres motifs similaires. Certaines pages (principalement des sites Magento et WooCommerce), dont quelques-unes appartenant à des " organisations renommées " dans les secteurs de l'alimentation et de la vente au détail, ont vu ces pages 404 compromises par un code de vol de cartes connu sous le nom de Magecart, ce qui n'avait jamais été vu auparavant, affirme Akamai.
"Cette technique de dissimulation est très innovante et nous ne l'avons jamais vue dans les campagnes Magecart précédentes ", a déclaré Akamai dans son rapport. "L'idée de manipuler la page d'erreur 404 par défaut d'un site web ciblé peut offrir aux acteurs de Magecart diverses options créatives pour améliorer la dissimulation et l'évasion."
Même les chercheurs d'Akamai n'ont pas repéré le logiciel malveillant au début, pensant que le skimmer était inactif ou que les pirates avaient fait une erreur en le configurant.
"Nous avons simulé des requêtes supplémentaires vers des chemins inexistants, et toutes ont renvoyé la même page d'erreur 404 contenant le commentaire avec le code malveillant encodé", ont déclaré les chercheurs. "Ces vérifications confirment que l'attaquant a réussi à modifier la page d'erreur par défaut pour l'ensemble du site web et à y dissimuler le code malveillant."
Les chercheurs d'Akamai ont également repéré deux autres campagnes, l'une dans laquelle les attaquants ont tenté de dissimuler le code dans l'attribut " onerror " de la balise d'image HTML, et l'autre dans laquelle un binaire d'image a été modifié pour faire croire qu'il s'agissait de l'extrait de code Meta Pixel.
Nous ne saurions trop insister sur l'importance d'utiliser des outils anti-malware pour protéger vos appareils.
Via BleepingComputer
