Cette semaine, nous avons déployé un crawler spécialisé à des fins de recherche. En seulement 24 heures, il a réussi à identifier de nouveaux schémas d'attaque Magecart. Magecart est une menace sophistiquée à motivation financière qui injecte du JavaScript malveillant pour dérober des informations de paiement personnelles. Voici une liste des plus grandes attaques Magecart à ce jour.
Détection initiale : JavaScript obfusqué sur Artifyau[.]com
URL détectée : https://artifyau[.]com/T1M0dVluVnBiR1J6YVhSbGNISnZMbU52YlE9PQ/jqwery.js.
L'URL imite un fichier JavaScript légitime, ressemblant potentiellement à jQuery, mais un rapide coup d'œil révèle une faute d'orthographe (« jqwery » au lieu de « jquery ») — une tactique courante pour masquer les attaques. À l'inspection, le fichier contenait du JavaScript fortement obfusqué, vraisemblablement conçu pour échapper à la détection. Voici un aperçu de la structure du code :
Et voici la version déobfusquée et normalisée :
Ce type d'obfuscation est courant dans les scripts Magecart, dont l'objectif est de dérober des informations de carte bancaire en injectant du code malveillant dans les pages de paiement des sites compromis.
Le domaine suspect : examen approfondi
Une recherche rapide a révélé que artifyau[.]com a été enregistré le 15 octobre 2024 et expire dans un an. Voici les métadonnées de base que nous avons recueillies :
Le domaine était dissimulé derrière Cloudflare, et une recherche rapide a montré qu'il était en vente — ce qui est étrange pour un site censé héberger des scripts légitimes.
D'après l'analyse d'URL, plusieurs sites web ont été infectés : https://urlscan.io/search/#artifyau.com
Analyse de la page HTML et du domaine secondaire
La balise <script> injectée :
Cela charge ensuite un document polyglotte. Dans un contexte de sécurité, les polyglottes sont des fichiers valides pour plusieurs types de fichiers différents simultanément. Dans ce cas, valide à la fois comme HTML et comme JavaScript, en même temps :
Il s'agit de code HTML commenté, où le JS malveillant se trouve en bas du fichier HTML commenté, vraisemblablement pour échapper à la détection :
Si quelqu'un visite ce site directement depuis son navigateur, la page suivante s'affichera :
Si ce code est injecté dans un site web, il sera chargé en tant que JavaScript. Il charge ensuite la phase finale du JavaScript malveillant, qui à son tour charge le fichier jqwery.js. Une fois décodé, il ressemble à ceci :
On y trouve plusieurs techniques anti-débogage et du code de temporisation, tout comme dans d'autres fichiers JS Magecart connus. Notamment :
- setTimeout(_0x3481cd, 1000);
Ce code est ensuite utilisé pour dérober les données personnelles (PII) et les informations de carte bancaire des visiteurs de ces sites.
Lors d'une analyse approfondie, nous avons découvert le nouveau domaine utilisé par l'acteur malveillant : quantifymy[.]com.
Ces deux domaines sont dissimulés derrière Cloudflare pour masquer leur adresse IP d'origine.
Nous avons trouvé une autre liste de sites web infectés via cette URL : https://urlscan.io/search/#quantifymy.com
Seul le domaine diffère ; tous les autres TTPs restent identiques à ceux décrits ci-dessus.
Protégez votre site
Au moment de la publication de cet article, un seul fournisseur de flux de menaces avait signalé ces domaines comme malveillants sur VirusTotal :
- https://www.virustotal.com/gui/domain/quantifymy.com
- https://www.virustotal.com/gui/domain/artifyau.com
Notre proxy inspecte chaque script tiers récupéré par le navigateur. Lors de nos tests, il a réussi à détecter et bloquer ces domaines avant qu'ils ne puissent exécuter le script, protégeant ainsi le visiteur. Vous pouvez vous inscrire ici.
