Ce qui s'est passe sur Shrwaa.com
Un site e-commerce populaire au Koweït, fonctionnant avec une version obsolète de Magento (2.4), a été compromis par une injection JavaScript malveillante, exposant les données de paiement des clients. La vulnérabilité, probablement liée à la faille CosmicSting dans Magento, a été corrigée, mais les sites non mis à jour restent à risque.
Contrairement à d'autres sites impactés, Shrwaa[.]com est exploité comme infrastructure pour des attaques supplémentaires. Une analyse d'URL montre de nombreux sites référençant Shrwaa[.]com, qui héberge plusieurs fichiers JavaScript malveillants :
Étant donné que ce domaine n'est actuellement pas signalé par les flux de menaces (un problème majeur en ce qui concerne les attaques côté client), les attaquants l'utilisent comme infrastructure et pour accélérer le processus d'infection de davantage de sites.
Un fichier appelé jquery.js n'est que légèrement obfusqué, nous donnant un aperçu du fonctionnement de l'injection. Ce fichier crée une page HTML simple qui incite les utilisateurs à saisir leurs informations de paiement. Ces fausses pages se superposent aux formulaires de paiement légitimes :
Étant donné qu'aucune surveillance de scripts tiers ni pratique de sécurité n'est en place, cette attaque reste active, et l'est probablement depuis décembre 2023.
Les attaques restent courantes sur la plateforme Magento. Elles sont connues sous le nom d'attaques Magecart, et certains des incidents les plus importants ont impliqué des tactiques similaires. Pour les mesures de prévention, consultez notre guide de sécurité côté client pour l'e-commerce.
Si Shrwaa[.]com avait eu cside en place, il aurait bloqué le code malveillant et alerté le site pour le supprimer. Nous les avons notifiés ainsi que d'autres sites de l'attaque.
Vous pouvez protéger votre site web gratuitement en créant un compte cside.
