Un écumeur de carte de crédit remplit de faux formulaires PayPal avec des informations de commande volées

  • Principal
  • Nouvelles
  • Un écumeur de carte de crédit remplit de faux formulaires PayPal avec des informations de commande volées

Un écumeur de carte de crédit remplit de faux formulaires PayPal avec des informations de commande volées

Un écumeur de cartes de crédit récemment découvert utilise une technique innovante pour injecter des iframes PayPal très attractifs et détourner le processus de paiement pour les boutiques en ligne compromises.

Les skimmers de cartes de paiement sont des scripts basés sur JavaScript que des groupes cybercriminels connus sous le nom de groupes Magecart placent sur les pages de paiement des sites de commerce électronique après les avoir piratés dans le cadre d'attaques de skimming Web (également appelées e-skimming).

Le but ultime des attaquants est de collecter les paiements et les informations personnelles soumis par les clients des magasins piratés et de les envoyer à des serveurs distants sous leur contrôle.

Informations de commande volées utilisées pour pré-remplir les iframes de paiement malveillants

Cette nouvelle tactique pour voler les informations de carte de paiement des acheteurs en ligne a été découverte par kraut amical utilisant des données de Sansec , une société de sécurité spécialisée dans la lutte contre l'écrémage numérique.

Comme découvert lors de l'analyse du skimmer Web, le script malveillant était caché dans une image hébergée sur le serveur du magasin compromis à l'aide de la stéganographie.

Le skimmer (version propre et commentée disponible ici ) va acquérir toutes les données du bon de commande saisies par les victimes et les exfiltrer sur les serveurs des attaquants.

Collecte des données de paiement

Collecte des données de paiement ( kraut amical )

Cependant, c'est là que s'arrêtent les similitudes avec les scripts de skimmer réguliers, car les données de commande volées sont également utilisées plus tard pour pré-remplir de faux formulaires de paiement PayPal qui seront saisis et affichés lors du paiement au lieu de formulaires légitimes.

L'écumeur analysera également les informations de commande avant de les utiliser pour remplir des formulaires PayPal et '[s]i les données ne sont pas valides, elles envoient en fait un message à la page du site de la victime', comme l'a découvert Kraut, supprimant efficacement les iframes malveillants du page de paiement.

Si les données analysées réussissent les vérifications, '[t]l'appel __activatePg prend les données ci-dessus et les utilise pour pré-remplir le faux formulaire PayPal, ce qui est, honnêtement, un peu intelligent. '

Lorsque la victime est redirigée vers la page de commande de PayPal, le fait qu'elle soit déjà partiellement remplie augmentera probablement les chances qu'elle soit suffisamment convaincante pour réussir à capturer les informations de paiement.

'Il transmet également les articles dans le panier et le total exact, les taxes et les frais d'expédition', a ajouté Kraut.

Une fois que la victime a saisi les informations de paiement et cliqué sur le bouton Soumettre, l'écumeur les exfiltrera toutes apptegmaker[.]con , un domaine enregistré en octobre 2020 et lié à assez parlé[.]con (ce domaine a également été utilisé pour l'exfiltration des données d'un groupe Magecart avec des revues codées de manière similaire ).

Après avoir volé les détails de paiement des victimes, le skimmer cliquera sur le bouton de commande derrière l'iframe malveillant, renvoyant la victime au processus de paiement légitime.

En cliquant sur le bouton de commande légitime ( kraut amical )

Se défendre contre l'écrémage Web

L'année dernière, le FBI a mis en garde les agences gouvernementales et les PME (petites et moyennes entreprises) contre les menaces d'e-skimming ciblant leurs paiements en ligne.

Le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont également partagé [ 1 , deux ] mesures défensives que les entreprises et les agences gouvernementales peuvent mettre en œuvre pour se protéger et protéger leurs utilisateurs contre les menaces d'écrémage du Web.

Le Conseil des normes de sécurité PCI fournit également sa propre liste de bonnes pratiques pour protéger les plateformes de commerce électronique [PDF].

Cependant, les utilisateurs ont beaucoup moins d'options pour se protéger des attaques de Magecart, avec des extensions de navigateur spécialement conçues pour empêcher JavaScript de se charger sur des sites Web non fiables comme l'un d'entre eux.

Cette approche, malheureusement, n'est pas très utile si les pirates parviennent à compromettre les sites de commerce électronique sur liste blanche, comme ils le font souvent lors des attaques Magecart.

Qu'est-ce que tu penses?