Le terme « Magecart » désigne les attaques ciblant la plateforme Magento. Récemment, une nouvelle campagne d'envergure a de nouveau visé des sites Magento. Parmi eux, le site de Carlsberg faisait partie des victimes.
Le schéma de ces attaques est presque toujours identique. Une seule ligne de JavaScript charge du contenu depuis un site distant — autrement dit, un script tiers. Ce code est ensuite fortement obfusqué pour retarder encore davantage sa détection.
Dans ce cas précis, le processus de paiement a été discrètement modifié. Un faux encadré de méthode de paiement a été ajouté à la page de la boutique et affiché en premier aux clients. Au moment où vous saisissiez vos coordonnées bancaires, ces informations étaient envoyées directement à l'attaquant.
Cette attaque a été baptisée « CosmicSting » et avait été signalée il y a plusieurs mois. Une analyse très détaillée et récente publiée par Sansec vous permettra de vous mettre à jour.
URLScan a archivé le code qui a été injecté :
Le domaine https://artvislon[.]shop/img/ a été utilisé pour injecter le code suivant :
Malwarebytes a publié une analyse plus approfondie du code lui-même si vous souhaitez le consulter. Celui-ci a depuis été supprimé des sites concernés.
C'est à la fois intéressant et quelque peu frustrant de constater que les entreprises touchées ne sont généralement pas nommément citées dans ce type de rapport. Même si l'intention de protéger leur identité est souvent louable, on peut se demander si ce silence ne fait pas partie du problème. C'est en tout cas la question que nous nous sommes posée.
Si davantage d'entreprises étaient publiquement identifiées lors d'attaques côté client comme CosmicSting, cela pourrait sensibiliser bien plus efficacement aux risques liés aux scripts tiers et aux malwares de skimming, et éviter à d'autres marques de subir des attaques similaires.
En gardant ces violations sous silence, le message adressé aux autres entreprises et au grand public reste trop discret. Lorsque des marques grandes et reconnues en sont victimes, cela devrait sonner l'alarme pour que les autres entreprises fassent de leur sécurité côté client une priorité.
Ces entreprises disposent souvent de ressources importantes et d'équipes de sécurité expérimentées et dédiées. Pourtant, des organisations de toutes tailles sont confrontées à des problèmes de sécurité côté client et n'y prêtent pas attention tant que la situation ne dérape pas de façon visible et à grande échelle.
Comme nous l'avons vu avec l'attaque Polyfill, en fonction de l'agent utilisateur, de l'heure de la journée et de l'adresse IP, un acteur malveillant peut injecter un script malveillant. S'en remettre à un crawler de sécurité pour détecter l'attaque à votre place ne permettra de repérer que les attaques non sophistiquées et non ciblées.
La réalité, c'est que sans mettre en lumière qui est touché, l'urgence et la gravité de ces attaques risquent de ne pas être pleinement perçues par les autres acteurs du secteur.
Ce manque de visibilité pourrait pourtant accélérer l'adoption de meilleures pratiques de sécurité et le renforcement des défenses à tous les niveaux.
Diverses approches ont été tentées pour contrer ce type d'attaques, mais aucune n'a vraiment fait ses preuves. Les flux de menaces sont réactifs et passent souvent complètement à côté. Nous venons justement de rapporter un cas où des flux de menaces ont manqué une attaque pendant plus de 2 ans.
Malwarebytes a détecté l'attaque grâce à quelques-uns de ses clients utilisant leur plugin de détection pour navigateur. Cela a permis de stopper l'attaque pour ces quelques clients spécifiques, ce qui en fait une excellente solution pour les personnes conscientes des dangers — mais pas pour celles qui n'évoluent pas dans cet univers.
Les attaques continuent de se multiplier, et comme ces attaques côté client sont particulièrement difficiles à détecter, nous avons créé cside pour changer la donne. Le propriétaire du site installe notre script en priorité de chargement afin que cside puisse surveiller, sécuriser et même optimiser tous les autres scripts présents sur son site. Vous pouvez commencer à protéger votre site web et vos visiteurs gratuitement.
