Des chercheurs de la société de cybersécurité Sansec ont découvert un nouveau type de logiciel malveillant qui utilise une technique innovante pour injecter des scripts d’écrémage de carte de paiement dans les pages de paiement des magasins en ligne compromis.
Le logiciel malveillant est capable de se cacher à la vue de tous en utilisant les boutons de médias sociaux qui apparaissent désormais régulièrement au bas des sites Web pour dissimuler ses charges utiles malveillantes.
Les groupes de cybercriminalité de Magecart utilisent régulièrement des skimmers de cartes de crédit qui sont des scripts JavaScript pour récolter automatiquement les informations de paiement et personnelles soumises par les clients sur les sites de commerce électronique. Ces données sont ensuite exfiltrées vers des serveurs contrôlés par les attaquants et sont utilisées pour commettre des fraudes et même des vols d’identité.
Sansec a repéré pour la première fois des logiciels malveillants similaires en juin, même s’il n’était pas aussi sophistiqué et n’a été détecté que sur neuf sites en une seule journée. Cependant, parmi les sites infectés, un seul contenait un logiciel malveillant fonctionnel, les autres manquant d’un composant rendant le logiciel malveillant inutile.
Sommaire
Cachant à la vue
Le malware d’écumeur de paiement découvert par Sansec utilise une structure à double charge utile pour l’aider à éviter la détection.
Les créateurs du malware cachent le code source du script skimmer dans une icône de partage de médias sociaux et un décodeur séparé est déployé ailleurs sur le serveur d’un site de commerce électronique qui est utilisé pour extraire et exécuter le voleur de carte de crédit.
Dans un article de blog, Sansec a fourni des informations supplémentaires sur la façon dont ce nouveau malware peut éviter la détection en utilisant une nouvelle technique, en disant:
«Ce nouveau malware comprend deux parties: une charge utile cachée et un décodeur, dont ce dernier lit la charge utile et exécute le code caché. Alors que les skimmers ont ajouté leur charge utile malveillante à des fichiers bénins tels que des images dans le passé, c’est la première fois qu’un code malveillant est construit comme une image parfaitement valide. Le résultat est que les scanners de sécurité ne peuvent plus trouver de logiciels malveillants simplement en testant une syntaxe valide. »
Nous en saurons probablement plus sur ce nouveau malware une fois qu’un moyen plus simple de le détecter et de le supprimer des sites de commerce électronique vulnérables sera découvert.
Via BleepingComputer
