Keylogger Magecart : les hackers ciblent les sites eCommerce

Un nouveau programme malveillant appelé Magecart compromet des centaines de sites eCommerce en enregistrant secrètement les données saisies lors d’un achat en ligne, tel un keylogger. Le malware envoie par la suite les données vers un domaine contrôlé par les pirates et extérieur au site légitime. Comment le malware Magecart infecte-t-il les sites web ? Comment savoir si votre boutique en ligne est déjà compromise ?

Le malware Magecart cible maintenant Magento, OpenCart, Braintree, VeriSign

Le #malware Magecart cible maintenant #Magento, #OpenCart, #Braintree, #VeriSign Cliquez pour tweeter

Les chercheurs de RiskiQ ont identifié une vague d’attaques Magecart qui a compromis plusieurs sites eCommerce. Le programme malveillant Magecart cible les données de paiement et autres données critiques saisies lors d’un achat en ligne.

Depuis mars 2016, de nombreuses données de cartes bancaires (nom, numéro de carte, date d’expiration, cryptogramme virtuel…) ont été dérobées pendant le processus de paiement de plus d’une douzaine de sites eCommerce à travers le monde via un code JavaScript qui agit comme un keylogger. Le code Javascript permet d’envoyer les contenus des formulaires de commande vers un domaine contrôlé par les pirates et extérieur au site légitime :

riskiq

Image et détails techniques par RiskiQ

Fin juin 2016, Sucuri a découvert une nouvelle variante de Magecart, qui ciblait les boutiques Magento, à travers le module Magento Braintree, qui permet de gérer le service de paiement de la plateforme Braintree.

Aujourd’hui, les attaquants ciblent plusieurs centaines de plateformes eCommerce, basées sur les CMS Magento, Powerfront, OpenCart et plusieurs fournisseurs de services de paiement en ligne comme Braintree et VeriSign.

Comment opère le malware Magecart ?

Comment opère le #malware Magecart ? Cliquez pour tweeter

Pour injecter le code JavaScript malicieux dans un site eCommerce, l’attaquant doit d’abord avoir accès au code source du site. Pour y avoir accès, les attaquants exploitent généralement une vulnérabilité logicielle connue ou inconnue via une faille zero-day, ou utilisent les identifiants administrateurs.

Par la suite, l’attaquant n’a plus qu’à insérer le code JavaScript qui va capturer les données saisies par les utilisateurs du site pendant le processus de paiement en ligne. Les chercheurs de RiskiQ indiquent que les attaquants sont à même d’ajouter des champs au formulaire de paiement « officiel » afin d’obtenir davantage d’informations critiques de la part de la victime.

Il ne faut pas prendre le programme malveillant Magecart à la légère car il évolue en permanence pour cibler un périmètre d’infection beaucoup plus large (sites eCommerce et services de paiement en ligne), sans oublier sa capacité à se camoufler pour éviter son identification.  Pour en apprendre plus sur les conséquences des malwares sur les sites eCommerce, je vous conseille l’article Malwares, sites infectés et SEO.

Comment savoir si mon site eCommerce est infecté par le malware Magecart ?

Comment savoir si mon site #eCommerce est infecté par le #malware Magecart ? Cliquez pour tweeter

Pour savoir si votre site eCommerce est vraiment infecté ou non, vous devez évaluer le niveau de risque de votre site avec une solution de sécurité avancée. Visitez ozon.io/scan, remplissez le formulaire pour une évaluation gratuite et découvrez en quelques minutes si vous êtes infecté par un malware. L’êtes-vous ?

capture-decran-2016-10-16-a-14-32-24Si vous êtes infecté, la solution de cybersécurité OZON vous permettra de remédier aux malwares et vulnérabilités identifiées en les patchant. Cette solution de cybersécurité empêchera votre site d’etre infecté à nouveau, et vous protégera également des attaques sophistiquées de type cross-site scripting (XSS), injection SQL, ou attaques DDoS.