Campagne d'attaque par écrémage Web
Des chercheurs en cybersécurité ont mis au jour une vaste campagne de vol de données en ligne, active depuis janvier 2022. Cette opération cible les entreprises utilisant les principaux réseaux de paiement, notamment American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard et UnionPay. Les entreprises intégrant ces services de paiement à leurs systèmes de paiement en ligne sont considérées comme les plus exposées.
Table des matières
Écrémage numérique et évolution de Magecart
Les attaques par écrémage numérique sont une forme de compromission côté client où des acteurs malveillants injectent du code JavaScript malveillant dans des sites de commerce électronique et des portails de paiement légitimes. Ce code injecté collecte discrètement les données de cartes de crédit et les informations personnelles des clients lorsqu'ils saisissent leurs informations de paiement.
Cette activité relève de la catégorie plus large communément appelée Magecart. Ce terme désignait à l'origine un ensemble informel de groupes cybercriminels ciblant les sites de commerce électronique basés sur Magento, mais il s'est depuis étendu aux opérations d'écrémage sur de nombreuses plateformes et technologies.
Infrastructures liées au contournement des sanctions
La campagne a été identifiée lors d'une enquête sur un domaine suspect associé à Stark Industries, un fournisseur d'hébergement ultra-sécurisé sanctionné. Sa société mère, PQ.Hosting, a ensuite rebaptisé le service THE.Hosting, désormais exploité par l'entité néerlandaise WorkTitans BV, apparemment pour contourner les sanctions.
Le domaine cdn-cookie(dot)com hébergeait des fichiers JavaScript fortement obscurcis tels que 'recorder.js' et 'tab-gtm.js'. Ces scripts étaient intégrés dans des boutiques en ligne compromises, où ils permettaient l'écrémage clandestin des cartes de crédit.
Agir furtivement par l’autodestruction et la conscience environnementale
Ce logiciel malveillant a été conçu pour échapper activement à la détection des administrateurs de sites. Il analyse le modèle objet du document (DOM) à la recherche de l'élément « wpadminbar », une barre d'outils visible lorsque les administrateurs WordPress ou les utilisateurs privilégiés sont connectés. Si cet élément est détecté, le logiciel malveillant déclenche immédiatement une procédure d'autodestruction et se supprime de la page.
Pour assurer sa persistance lors d'une navigation normale, le programme d'esquive tente de s'exécuter à chaque modification du DOM de la page, ce qui est fréquent lors des interactions des utilisateurs sur les sites web modernes.
Armement de la bande avec manipulation d’interface
Le code malveillant contient une logique spécifique conçue pour exploiter les processus de paiement utilisant Stripe. Lorsque Stripe est sélectionné, le programme vérifie la présence d'une entrée dans le stockage local nommée « wc_cart_hash ». Si cette valeur n'existe pas, il crée la clé et se prépare à collecter les données.
À ce stade, le logiciel malveillant remplace dynamiquement le formulaire de paiement Stripe légitime par un formulaire contrefait. Grâce à une manipulation subtile de l'interface, les victimes sont amenées à saisir leur numéro de carte, sa date d'expiration et son code CVC dans le faux formulaire.
Après soumission, la page renvoie un message d'erreur, laissant croire que le paiement a échoué en raison d'informations incorrectes plutôt que d'une intervention malveillante.
Vol, exfiltration et nettoyage de données
Les informations volées ne se limitent pas aux données de carte bancaire ; elles comprennent également les noms complets, les numéros de téléphone, les adresses e-mail et les adresses de livraison. Le dispositif de fraude transmet ces données via une requête HTTP POST à lasorie.com.
Une fois l'exfiltration terminée, le logiciel malveillant supprime le faux formulaire, rétablit l'interface légitime de Stripe et efface toute trace de son activité sur la page de paiement. Il active ensuite la variable « wc_cart_hash » (valeur « true »), empêchant ainsi toute nouvelle tentative d'escroquerie sur la même victime.
Une chaîne d’attaque construite sur une connaissance approfondie de la plateforme
Les chercheurs notent que l'auteur de la menace fait preuve d'une connaissance approfondie du fonctionnement interne de WordPress et exploite même des fonctionnalités méconnues de la plateforme dans le cadre de son attaque. Cette expertise, combinée à des techniques sophistiquées d'évasion et de manipulation d'interface, souligne la maturité et la persistance de l'opération.
