Une grave attaque de piratage a exploité des sites Web de commerce électronique pour voler les informations de carte de crédit des utilisateurs et propager l’attaque à d’autres sites Web.
Ces attaques de piratage sont appelées skimmer de style Magecart et se propagent dans le monde entier sur plusieurs plates-formes de commerce électronique.
Les attaquants ciblent une variété de plates-formes de commerce électronique :
- Magento
- Shopify
- WooCommerce
- WordPress
Que fait l’attaque ?
Les attaquants ont deux objectifs lorsqu’ils infectent un site Web :
1. Utiliser le site pour se diffuser sur d’autres sites
2. Voler des informations personnelles telles que les données de carte de crédit des clients du site Web infecté.
L’identification d’une vulnérabilité est difficile car le code déposé sur un site Web est encodé et parfois masqué en tant que code Qwanturank Tag ou Facebook Pixel.
Capture d’écran par Akamai
Ce que le code fait cependant est de cibler les formulaires de saisie pour les informations de carte de crédit.
Il sert également d’intermédiaire pour mener des attaques au nom de l’attaquant, dissimulant ainsi la véritable source des attaques.
Écumeur de style Magecart
Une attaque Magecart est une attaque qui pénètre par une vulnérabilité existante sur la plate-forme de commerce électronique elle-même.
Sur WordPress et WooCommerce, il peut s’agir d’une vulnérabilité dans un thème ou un plugin.
Sur Shopify, il pourrait s’agir d’une vulnérabilité existante sur cette plate-forme.
Dans tous les cas, les attaquants profitent des vulnérabilités présentes dans la plate-forme utilisée par les sites de commerce électronique.
Il ne s’agit pas d’un cas où il existe une seule vulnérabilité pouvant être facilement corrigée. C’est un large éventail d’entre eux.
Le rapport d’Akamai déclare :
« Avant que la campagne ne puisse commencer sérieusement, les attaquants chercheront des sites Web vulnérables pour agir en tant qu' »hôtes » pour le code malveillant qui sera utilisé plus tard pour créer l’attaque par écrémage Web.
…Bien qu’il ne soit pas clair comment ces sites sont piratés, sur la base de nos recherches récentes sur des campagnes similaires précédentes, les attaquants recherchent généralement des vulnérabilités dans la plate-forme de commerce numérique des sites Web ciblés (telles que Magento, WooCommerce, WordPress, Shopify, etc. .) ou dans des services tiers vulnérables utilisés par le site Web.
Action recommandée
Akamai recommande à tous les utilisateurs de commerce électronique de sécuriser leurs sites Web. Cela signifie s’assurer que toutes les applications et plugins tiers sont mis à jour et que la plate-forme est la toute dernière version.
Ils recommandent également d’utiliser un pare-feu d’application Web (WAF), qui détecte et empêche les intrusions lorsque des pirates sondent un site à la recherche d’un site Web vulnérable.
Les utilisateurs de plates-formes comme WordPress disposent de plusieurs solutions de sécurité, les plus populaires et les plus fiables étant Sucuri Security (renforcement du site Web) et WordFence (WAF).
Akamai recommande :
« … la complexité, le déploiement, l’agilité et la distribution des environnements d’applications Web actuels – et les différentes méthodes que les attaquants peuvent utiliser pour installer des skimmers Web – nécessitent des solutions de sécurité plus dédiées, qui peuvent fournir une visibilité sur le comportement des scripts exécutés dans le navigateur et offrir défense contre les attaques côté client.
Une solution appropriée doit se rapprocher de l’endroit où se produit l’attaque réelle contre les clients. Il devrait être en mesure d’identifier avec succès les tentatives de lecture à partir de champs de saisie sensibles et l’exfiltration de données (dans nos tests, nous avons utilisé Akamai Page Integrity Manager).
Nous recommandons que ces événements soient correctement collectés afin de faciliter une atténuation rapide et efficace.
Lisez le rapport original pour plus de détails :
Nouvelle campagne de style Magecart abusant de sites Web légitimes pour attaquer les autres
Image sélectionnée par Shutterstock/missSIRI
