Meyhod Skimmer
Les chercheurs d'Infosec ont détecté une nouvelle attaque de type Magecart. La menace déployée s'appelait Meyhod Skimmer et a été découverte cachée sur plusieurs sites Web de commerce électronique. Parmi les victimes figurent Bsley, une entreprise populaire de produits de traitement capillaire, et le Chicago Architecture Center (CAC), l'une des plus grandes organisations culturelles de cette ville. Non seulement le Meyhod Skimmer a été intégré avec succès dans les sites Web concernés, mais il a réussi à y rester plusieurs mois sans être détecté.
L'analyse a révélé que le Meyhod Skimmer n'est pas aussi complexe que certaines des autres menaces récentes de Magecart, telles que les dernières variantes de l'écumeur Grelos ou l'écumeur Ant and Cockroach. Être relativement simpliste n'est pas un inconvénient, dans ce cas, car les hackers chargés de déchaîner Meyhod avaient évidemment beaucoup d'expérience dans ce type d'opération. Ils ont méticuleusement conçu la menace pour la rendre extrêmement efficace pour se fondre dans l'environnement du site Web de la victime. En fait, les chercheurs d'Infosec ont observé que chaque site Web infecté contenait une menace Meyhoid Skimmer qui présentait de légères variations dans son code, indiquant que les cybercriminels prenaient le temps de personnaliser leur outil malveillant pour la cible spécifique.
La méthodologie d'une attaque Meyhod Skimmer voit la menace être répartie sur plus d'une douzaine de fonctions, ce qui contribue à l'obscurcissement. Le code corrompu lui-même est ajouté à des ressources JavaScript légitimes qui varient des bibliothèques JavaScript largement utilisées au code créé sur mesure. Les ressources modifiées sont ensuite intégrées dans le panier et les pages de paiement via des balises de script qui, en un coup d'œil rapide, pourraient être confondues avec un appel ordinaire à une bibliothèque. L'une des fonctions de Meyhod Skimmer appelée «saveData» est chargée d'obtenir les détails de la carte de crédit en utilisant les sélecteurs jQuery. Toutes les données collectées sont ensuite exfiltrées vers les serveurs de Command-and-Control mis en place pour les opérations via des requêtes AJAX POST.
Le Meyhod Skimmer montre que le paysage des attaques de type Magecart est toujours en évolution, les cybercriminels adoptant radicalement différentes techniques. L'objectif final est cependant resté le même: violer les informations de paiement sensibles en compromettant les sites Web de commerce électronique.
Meyhod souligne le paysage en constante évolution et en expansion de Magecart englobant le vol d'informations de paiement via des sites Web de commerce électronique compromis.
