BLOG

Le désordre du chariot magique

Miniature F5
F5
Publié le 1er juillet 2019

Alors que nous nous dirigeons vers l'été avec des barbecues, des matchs de baseball et des divertissements dans le jardin, ne soyez pas trop surpris si vous vous demandez quelle a été la principale cause des violations dans le commerce de détail, la technologie et la fabrication au cours de l'année dernière. Selon F5 Labs, il s'agit de Magecart .

Qu'est-ce que Magecart ? Magecart est en réalité un terme donné à un groupe d'unités de cybercriminalité. Au moins une douzaine de groupes sont responsables, et chacun a sa propre spécialité. Par exemple, le Groupe 5 est impliqué dans l’attaque de Ticketmaster en 2018. Mais ce type d’attaque se produit depuis 2014, à commencer par le Groupe 1.

Le groupe a commencé par exploiter des serveurs vulnérables ou en compromettant les pages du panier d’achat. Ils modifieraient le contenu, le code et les scripts avec leur propre logiciel malveillant pour voler des données de carte de crédit et des données personnelles.

Ils ont progressé à un point où ils peuvent désormais récupérer les informations de paiement grâce à une attaque par injection de code Web délivrée par des services publicitaires tiers. Les attaquants compromettront un service publicitaire et injecteront du code malveillant. La bibliothèque JavaScript compromise est ensuite chargée sur le site Web de commerce électronique diffusé par le service publicitaire. Pendant que les clients saisissent les informations de leur carte de crédit, le skimmer travaille en arrière-plan pour voler les données. Une fois que c'est capturé, vous connaissez la routine, c'est stocké sur un serveur et communiqué, va aux vendeurs/acheteurs clandestins, ils achètent des biens ou redistribuent un blanc, et vous n'avez aucune idée de ce qui s'est passé.

Ticketmaster (comme mentionné précédemment), New Egg, Sotheby’s et British Airways ont tous été victimes. En fait, dans le cas de Ticketmaster, ce n’est pas eux-mêmes qui ont été directement piratés, mais c’est leur fournisseur tiers qui a été compromis. Le module JavaScript personnalisé créé pour Ticketmaster a été remplacé par le code de l'écrémeur numérique. Mais ils n’étaient pas les seuls. Des centaines de sites ont été compromis de cette façon.

Compromettre des systèmes tiers est un excellent moyen d’accéder à une cible. Il s’agit souvent de petites entreprises dotées de moins de niveaux de sécurité. Et ils ont un accès direct à la cible. Vous souvenez-vous de l’époque où les attaques arrivaient via une connexion réseau back-end qui n’était pas correctement segmentée ou sécurisée par une certaine authentification ? C'est un peu la même chose, sauf qu'il s'agit désormais de publicités numériques. Laissez quelqu’un d’autre faire la livraison pour vous.

L’écrémage de cartes numériques est attrayant pour les criminels car les chances de succès sont élevées et c’est relativement facile. D’autres attaques nécessitent des éléments tels que des logiciels malveillants, une compromission directe ou même de l’ingénierie sociale pour réussir. Cela nécessite du temps, des efforts et parfois une expertise. Et le taux de réussite par rapport à Magecart est inférieur. Pourquoi ne pas opter pour la solution facile avec un profit élevé ?

L’autre raison de son succès est qu’il est presque impossible pour le client de le détecter. Pendant que vous êtes dans l'agitation émotionnelle de la saisie enthousiaste de vos informations de paiement pour la livraison gratuite, l'écrémeur plane de manière invisible au-dessus du champ pour récupérer vos données. Traditionnellement, les écrémeurs étaient des « modules complémentaires » physiques installés sur des équipements tels que les distributeurs automatiques de billets, les pompes à essence et les bornes de paiement. Il pourrait s'agir d'un élément recouvrant l'insert lui-même ou d'une fine membrane conçue pour se fondre dans la machine. Vous pouvez contrecarrer ces menaces physiques en examinant attentivement l’endroit où vous insérez votre carte ou en passant votre doigt sur la fente pour ressentir quelque chose d’inhabituel. Dans le cas numérique, c’est pratiquement invisible. Il n’est pas étonnant que les attaques par injection restent en tête du Top 10 de l’OWASP.

Les attaquants itèrent toujours sur leur code pour éviter d’être détectés. Obfuscation, cryptage et même perturbation et désactivation d'autres logiciels d'écrémage de cartes qui pourraient déjà être exécutés sur le site. Dans un cas, le script nettoyait également en permanence les messages de la console du débogueur du navigateur pour contrecarrer la détection et l'analyse. Le script du groupe 12 va jusqu’à vérifier l’URL pour des mots-clés tels que « facturation », « paiement » et « achat », selon TrendMicro. Ils ont même inclus la localisation en incluant le mot français pour panier, « panier », et le mot allemand pour caisse, « kasse ». Une fois qu'il détecte les chaînes ciblées, le script commence son écrémage et chaque victime reçoit un numéro aléatoire généré pour les identifier. Une fois que la victime ferme ou actualise le navigateur, un autre événement JavaScript se déclenche et envoie les données de paiement capturées, l'e-tag (numéro aléatoire) et le domaine de commerce électronique à un serveur distant.

Magecart est une menace active de grande ampleur qui pourrait être plus grave que les violations de points de vente chez Target ou Home Depot, selon RiskIQ . Même si les chercheurs sont de plus en plus conscients de ce risque, cela ne signifie pas qu’ils seront en mesure de détecter toutes les attaques. Les criminels sont intelligents.

Comme pour de nombreuses menaces de sécurité, une approche par couches ou une défense en profondeur est essentielle. Il est évident qu’il est important de corriger tous les serveurs et de segmenter les systèmes sensibles. Il est également important de s’assurer que toutes les extensions et tous les systèmes tiers sont à jour. Il est également important de s'assurer que le contenu et les fichiers diffusés via un CDN (source externe) ou d'autres domaines n'ont pas été modifiés ou falsifiés. Et certainement, un WAF avec des signatures ou des ensembles de règles axés sur les vulnérabilités connues exploitées par Magecart peut aider.

Ces attaques évoluent constamment, deviennent plus sophistiquées et recherchent de nouveaux boucs émissaires. Les attaques de la chaîne d’approvisionnement donnent aux escrocs accès à des milliers de sites. Tout à coup.

Enfin, toute violation est une bonne leçon pour vérifier régulièrement les relevés de cartes de crédit, bancaires et financiers pour détecter toute activité inhabituelle. Voyez-le, signalez-le.

Si vous souhaitez un aperçu plus approfondi de Magecart et d'autres vulnérabilités d'injection, rendez-vous sur F5 Labs pour leur rapport sur la protection des applications 2019, épisode 3 : Les attaques par injection Web deviennent plus méchantes .