Qu’est-ce que Magecart? Comment ce groupe de pirates vole les données de la carte de paiement

Lucas Morel

Les groupes de piratage qui composent Magecart sont efficaces et persistants pour voler les données des clients et des cartes de paiement via des skimmers. Voici comment ils fonctionnent et ce que vous pouvez faire pour atténuer le risque.

Définition de Magecart

Magecart est un consortium de groupes de pirates malveillants qui ciblent les systèmes de paniers d’achat en ligne, généralement le système Magento, pour voler les informations de carte de paiement client. Ceci est connu comme une attaque de chaîne d’approvisionnement. L’idée derrière ces attaques est de compromettre un logiciel tiers à partir d’un intégrateur VAR ou de systèmes ou d’infecter un processus industriel à son insu.

Les paniers d’achat sont des objectifs attrayants car ils collectent des informations de paiement auprès des clients: si votre logiciel malveillant peut appuyer sur ce flux de données, vous avez un outil de collecte de cartes prêts à l’emploi. Presque tous les sites de commerce électronique qui utilisent les paniers-ports ne vérifient pas correctement le code utilisé avec ces pièces tierces – une recette pour un piratage prêt à l’emploi.

Magecart est connu pour être actif depuis 2016 et est encore assez prolifique. RiskIQ a trouvé des preuves de ses exploits pour revenir à 2010. RiskIQ a été acquis par Microsoft en 2021 et s’est replié à la recherche sur les menaces de Microsoft. Malheureusement, une grande partie de la recherche originale n’est pas disponible, bien que ce rapport 2019 donne une vue très complète des activités du malware. Les activités du groupe malveillant se sont intensifiées en 2018 et les chercheurs ont vu des alertes horaires pour les sites Web compromis par son code d’écumoire. Cela a valu à Magecart une place sur la liste des personnes les plus dangereuses de Wired Magazine sur Internet en 2018.

En 2023, les chercheurs d’Akamai ont suivi de nouveaux développements conçus pour voler des données personnelles sur les sites Web de commerce électronique et abuser des pages d’erreur Web. Dans le premier cas, les attaquants Magecart détournent des sites Web légitimes pour agir comme des serveurs de commandement et de contrôle de fortune, qui agissent à leur tour comme des centres de distribution pour un code malveillant, cachant effectivement l’attaque derrière un domaine légitime. Le deuxième lien décrit le renversement des messages de la page d’erreur 404 en injectant le code de logiciel malveillant. Les deux situations ajoutent une autre couche d’obscurcissement, ce qui rend Magecart plus difficile à détecter.

Les autres attaques Magecart comprennent:

  • Ticketmaster’s UK Operations (janvier 2018)
  • British Airways (août 2018)
  • NOUVEAU RETENDANT ÉLECTRONIQUE (septembre 2018)
  • Approuvé des acheteurs (septembre 2018)
  • Mypillow (octobre 2018)
  • Topps Sports Collectable Site Web (novembre 2018)
  • ATLANT HAWKS FAN MERCHANDISE BATERIE DE LA MARCHANDE (AVRIL 2019)
  • Des centaines de librairies du campus universitaire (avril 2019)
  • Abonnés du magazine Forbes (mai 2019)
  • NutriBullet (février 2020)
  • Attaques WordPress / WooCommerce (mai 2020)
  • Attaque d’injection de code FAVICON (mai 2021)
  • Cibler Recaptcha (août 2021)
  • Exploiter Google Tag Manager et utiliser une nouvelle vulnérabilité dans Magento pour déployer son code d’écumoire (2024)

Comment fonctionne Magecart

En règle générale, le hacker Magecart remplace un morceau de code JavaScript, soit en modifiant la source Magento, soit en redirigeant le panier à l’aide d’une injection sur un site Web qui héberge le malware. Les chercheurs ont identifié près de 40 exploits d’injection de code différents. La seule façon de détecter cela est de comparer l’intégralité de la pile de code de commerce électronique ligne par ligne et de voir ce qui a changé.

Son processus d’attaque global est devenu très sophistiqué, en utilisant une série d’étapes pour cacher sa présence et déployer une variété de techniques pour exfiltrer les données.

Un moyen intelligent pour les attaquants d’héberger leurs logiciels malveillants (et, malheureusement, sans s’y limiter aux attaques Magecart) est de télécharger leur code sur un projet GitHub inutilisé. Les criminels essaient de s’approprier le projet, puis de publier une «nouvelle» version du code qui contient le malware. Cela a un avantage direct d’obtenir rapidement des logiciels malveillants en usage actif sur des milliers de sites Web. Les outils de sécurité peuvent ne pas numériser le code de GitHub, afin que les criminels puissent se cacher à la vue et s’enfuir avec le projet compromis.

Dans au moins le British Airways Hack, Magecart a adapté l’attaque au système spécifique, selon divers rapports. Cela comprenait la construction des pages de paiement de la compagnie aérienne, ce qui signifie qu’ils ont été ciblés spécifiquement.

Magecart a montré qu’il était prêt à évoluer davantage avec son attaque de site Web MyPillow. Mypillow a découvert et supprimé rapidement leur malware d’origine, mais Magecart a conservé l’accès au site selon un rapport de 2019 de Trend Micro. Une deuxième attaque a changé de tactique où les attaquants ont placé un skimmer sur le site Web de MyPillow, ajoutant une nouvelle balise de script pour LiveChat qui correspondait à une balise de script habituellement insérée par les scripts LiveChat. Les attaquants Magecart sont allés encore plus loin en proxyant le script standard renvoyé du service Real LiveChat et en ajoutant le code de l’écumeur en dessous.

Trois des écumeurs Magecart 2019 et 2020 ont ciblé le plugin WooCommerce open source pour WordPress, qui est populaire parmi les détaillants en ligne. Ces skimmers étaient:

  • Wootheme: Cet skimmer est simple et facile à utiliser. Son code est généralement obscurci pour éviter la détection.
  • SLECT: Ce skimmer tire son nom d’une faute d’orthographe du mot «sélectionné» qui a aidé les chercheurs à le découvrir. C’est un autre écumoire simple et censé être une variation de l’écumoire des Grelos.
  • Gateway: Cetkimmer utilise plusieurs couches et étapes pour obscurcir ses processus et éviter la détection.

Comment Magecart a évolué

Les analystes de RiskIQ et Flashpoint ont combiné les forces en 2018 et ont publié un rapport qui dissèque le code de Magecart et ses méthodes de compromis. Ils continuent de suivre au moins six groupes de piratage différents qui développent activement des versions des logiciels malveillants, ajoutant diverses améliorations et ruse. Chaque groupe a sa propre signature et méthodes de code distinctifs afin que les chercheurs puissent les classer. Cette recherche a trouvé une série d’améliorations dans cette famille de logiciels malveillants.

  • Mouvement au-delà de Magento avec de nouveaux plug-ins. L’attaque sur le site Web approuvé par les acheteurs était importante. La plupart des efforts Magecart ont impliqué des compromis avec le panier Magento. Celui-ci a exploité le plug-in de notation du client du fournisseur pour évaluer divers sites Web, qui affiche ensuite un insigne d’honneur. Les chercheurs ont découvert que les logiciels malveillants avaient finalement été déployés sur plus de 7 000 sites de commerce électronique. Une fois que les chercheurs ont identifié la source de l’infection, le acheteur a approuvé rapidement pour supprimer les logiciels malveillants.
  • Utilisation de serveurs d’annonces. Une deuxième direction est toujours d’attaquer les paniers d’achat, mais en utilisant une nouvelle méthode pour infecter les bannières publicitaires, afin que les serveurs d’annonces placent du code Magecart dans un serveur Web. Une fois qu’un utilisateur considère l’annonce dans un navigateur, le code est téléchargé sur son ordinateur. Le code malware peut également être hébergé par un serveur compromis.
  • En utilisant des attaques plus ciblées et plus élaborées. Cela montre un mouvement loin de pulvériser largement les logiciels malveillants et de passer du temps avec des victimes potentielles pour étudier leur codage et leur infrastructure. C’est ce qui s’est produit avec British Airways, lorsque les pirates ont pu profiter du flux logique de leurs applications internes. Les chercheurs ont pu suivre 22 lignes de code d’un script infecté qui traitaient de la page d’informations sur les affirmations des bagages de British Airways et sont arrivées à la conclusion qu’ils voyaient une attaque XSS qui compromis les propres serveurs des British Airways. Magecart a pu voler des données qui n’ont pas été stockées sur les serveurs appartenant à British Airways. Ils ont trouvé les modifications en raison d’une circonstance étrange: la dernière fois que l’un des scripts des bagages avait été modifié avant la violation, c’était en décembre 2012.
  • Double exfiltration et injection de formulaire de paiement. RiskIQ a documenté en 2021 les activités passées et actuelles d’un groupe Magecart, il appelle le groupe 7 qui fonctionne depuis 2018. Le groupe a commencé avec un skimmer baptisé Makeframe Skimmer qu’ils ont testé et constamment amélioré en utilisant les sites Web des victimes. Cette écumoire s’est démarquée car elle a utilisé des chemins d’exfiltration à deux données vers les sites compromis et les serveurs contrôlés par acteur. Les chercheurs ont réussi à lier des attaques plus récentes avec un écumoire surnommé Bom à Magecart Group 7. Le nouveau skimmer, qui est utilisé depuis l’année dernière et a également été documenté par d’autres sociétés de sécurité, semble être un prédécesseur de Makeframe et partage des similitudes avec lui. Comme MakeFrame, Bom utilise des chemins de double exfiltration et injecte même ses propres formulaires de paiement voyou dans les sites compromis.
  • Cacher son script dans des fichiers d’image. Cette recherche en 2022 de Microsoft montre comment les images contiennent du code malveillant.

Méthodes d’atténuation des attaques et de prévention de la chaîne d’approvisionnement

Bien que les pirates puissent utiliser des techniques sophistiquées pour planter et masquer les skimmers, les propriétaires de sites Web avec des ressources limitées ne devraient pas désespérer. Il existe des scanners de site Web gratuits en ligne qui peuvent aider à repérer des connexions suspectes ouvertes par des scripts comme Magecart et des outils de développeur de navigateur qui peuvent aider à analyser leur contenu.

Des chercheurs de Trustwave SpiderLabs ont publié un guide avec des informations détaillées sur la façon dont ces investigations peuvent être effectuées ainsi qu’une liste d’outils utiles spécialement conçus pour détecter et fixer les infections Magecart. Les technologies Web comme la politique de sécurité du contenu (CSP) et l’intégrité des sous-ressources (SRI) peuvent également être utilisées pour protéger les visiteurs du site Web, car ils peuvent être utilisés pour restreindre les scripts chargés et pour protéger leur intégrité.

Ces meilleures pratiques aideront à durcir vos réseaux et essaieront d’arrêter Magecart et d’autres attaques de chaîne d’approvisionnement.

  • Pensez d’abord à identifier tous vos fournisseurs de commerce électronique et de publicité en ligne tiers. Vous pouvez les obliger à faire des auto-évaluations de leur code ou d’autres audits.
  • Implémentez l’intégrité de la sous-resource afin que les scripts modifiés ne soient pas chargés sans votre autorisation. Cela nécessitera une éducation concertée de vos équipes DevOps et une revue de code approfondie pour retrouver ces scripts.
  • Organisez autant de vos scripts tiers sur vos propres serveurs que vous le pouvez plutôt que sur les serveurs de vos fournisseurs. Cela est plus facilement dit que fait, étant donné que la page Web de commerce électronique moyen possède des dizaines de sources tierces.
  • Vérifiez votre fournisseur de protection des points de terminaison et déterminez s’ils peuvent arrêter Magecart et d’autres attaques de compromis tiers.
  • Assurez-vous que votre cyber-assurance couvre ce type de compromis.
  • Examinez et révisez vos politiques de sécurité pour inclure le même traitement de vos entrepreneurs et fournisseurs, comme s’ils étaient des employés à temps plein travaillant directement pour votre société. C’est une des raisons pour lesquelles les attaques de la chaîne d’approvisionnement fonctionnent, car les pirates comptent sur une sécurité moins que stellaire s’appliquant à ces travailleurs.
  • Si vous utilisez WordPress, assurez-vous de continuer à mettre à jour vers la version la plus récente. Depuis V5.2, il dépasse et essaie spécifiquement les attaques de chaîne d’approvisionnement utilisées dans leur bibliothèque de plug-in.