Les chercheurs en cybersécurité ont découvert une importante campagne d'écrémage du Web active depuis janvier 2022, ciblant plusieurs réseaux de paiement majeurs tels qu'American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard et UnionPay.
“Les entreprises qui sont clientes de ces prestataires de paiement sont les plus susceptibles d'être touchées”, a déclaré Silent Push dans un rapport publié aujourd'hui.
Les attaques d'écrémage numérique font référence à une catégorie d'attaques côté client dans lesquelles des criminels compromettent des sites de commerce électronique et des portails de paiement légitimes pour injecter du code JavaScript malveillant capable de collecter furtivement des informations de carte de crédit et d'autres informations personnelles lorsque des utilisateurs sans méfiance tentent d'effectuer un paiement sur les pages de paiement.
Ces attaques sont classées sous un terme générique appelé Magecart, qui faisait initialement référence à une coalition de groupes cybercriminels qui attaquaient des sites de commerce électronique à l'aide du logiciel Magento, avant de s'étendre à d'autres produits et plateformes.
Silent Push a déclaré avoir découvert la campagne après avoir analysé un domaine suspect lié à un fournisseur d'hébergement à toute épreuve désormais agréé, Stark Industries (et sa société mère PQ.Hosting), qui a depuis changé son nom pour THE.[.]L'hébergement, sous le contrôle de l'entité néerlandaise WorkTitans BV, est une mesure d'évasion des sanctions.
Le domaine en question, cdn-cookie[.]com, héberge des charges utiles JavaScript hautement obscurcies (par exemple « recorder.js » ou « tab-gtm.js ») qui sont chargées par les boutiques en ligne pour faciliter le vol de cartes de crédit.
Le skimmer est doté de fonctionnalités permettant d'échapper à la détection par les administrateurs du site. Plus précisément, il recherche dans l'arborescence DOM (Document Object Model) un élément appelé « wpadminbar », une référence à une barre d'outils qui apparaît sur les sites Web WordPress lorsque des administrateurs connectés ou des utilisateurs disposant des autorisations appropriées consultent le site.
Si l'élément “wpadminbar” est présent, le skimmer démarre une séquence d'autodestruction et supprime sa propre présence de la page Web. Chaque fois que le DOM de la page Web est modifié, il tente d'exécuter le skimmer, un comportement standard qui se produit lorsque les utilisateurs interagissent avec la page.
Ce n'est pas tout. Le skimmer vérifie également si Stripe a été sélectionné comme option de paiement, et si c'est le cas, il existe un élément appelé “wc_cart_hash” dans le stockage local du navigateur, qu'il crée et définit sur “true” pour indiquer que la victime a déjà été analysée avec succès.
L'absence de cet indicateur amène le skimmer à générer un faux formulaire de paiement Stripe qui remplace le formulaire légitime via des manipulations de l'interface utilisateur, incitant ainsi les victimes à saisir leurs numéros de carte de crédit, ainsi que les dates d'expiration et les numéros de code de vérification de carte (CVC).
“Comme la victime a saisi les détails de sa carte de crédit dans un faux formulaire au lieu du véritable formulaire de paiement Stripe, qui était initialement masqué par le skimmer lorsqu'elle l'a initialement rempli, la page de paiement affichera une erreur”, a déclaré Silent Push. “Cela donne l'impression que la victime a simplement mal saisi ses informations de paiement.”
Les données volées par le skimmer vont au-delà des détails de paiement et incluent les noms, numéros de téléphone, adresses e-mail et adresses de livraison. Les informations sont finalement exfiltrées via une requête HTTP POST vers le serveur “lasorie”.[.]com.”
Une fois la transmission des données terminée, le skimmer supprime ses traces de la page de paiement, supprimant le faux formulaire de paiement créé et restaurant le formulaire de saisie Stripe légitime. Définissez ensuite “wc_cart_hash” sur “true” pour empêcher le skimmer de s'exécuter une seconde fois sur la même victime.
“Cet attaquant possède une connaissance avancée du fonctionnement interne de WordPress et intègre des fonctionnalités encore moins connues dans sa chaîne d'attaque”, a déclaré Silent Push.