Des chercheurs en cybersécurité ont découvert une importante campagne de skimming web active depuis janvier 2022, visant des réseaux de paiement renommés tels qu’American Express, Mastercard et d’autres. Cette activité malveillante s’inscrit dans une catégorie d’attaques connue sous le nom de Magecart, qui était initialement centrée sur des sites utilisant la plateforme Magento, mais a diversifié son champ d’action, touchant désormais divers portails de commerce électronique.
Menace sophistiquée
L’attaque consiste à compromettre des sites légitimes de commerce électronique et d’injecter du code JavaScript malveillant qui vole des informations sensibles sur les cartes de crédit et d’autres données personnelles pendant le processus de paiement. Les chercheurs de Silent Push ont identifié cette campagne après avoir analysé un domaine suspect associé à un fournisseur d’hébergement connu pour son activité illicite, qui a tenté d’échapper aux sanctions en changeant de nom.
Le domaine en question héberge des charges JavaScript hautement obscurcies conçues pour faciliter le skimming des cartes de crédit. Ce skimmer a la capacité d’éviter la détection par les administrateurs de site, car il vérifie la structure du Document Object Model à la recherche d’éléments spécifiques indiquant qu’un utilisateur administrateur est présent. S’il détecte la présence de ces éléments, il déclenche une séquence d’autodestruction pour éliminer toute trace de son code.
De plus, le skimmer peut manipuler les formulaires de paiement. S’il identifie que Stripe a été sélectionné comme méthode de paiement, la menace crée un faux formulaire qui trompe les victimes en leur faisant entrer leurs informations de carte de crédit, y compris le code de vérification CVC et les dates d’expiration. À la fin du processus, les données volées sont envoyées à un serveur désigné, ce qui met en danger les informations personnelles des utilisateurs.
Cette opération sophistiquée met en évidence le niveau de connaissance que les attaquants possèdent sur les caractéristiques de WordPress, intégrant même des fonctions moins connues dans leur chaîne d’attaque, ce qui soulève de sérieuses préoccupations pour les entreprises qui gèrent des boutiques en ligne.