cside vient de détecter une attaque côté client active depuis plus de 2 ans. Le domaine guyacave[.]fr diffuse un script de collecte de données personnelles (PII skimmer) sur plusieurs sites web depuis août 2022. Vérifiez votre site dès maintenant et supprimez immédiatement tout script faisant référence à ce domaine si vous en trouvez un.
Lors de l'analyse de scripts malveillants, nous avons découvert un site web infecté par l'un d'eux. Sur ce site, nous pouvons constater que l'attaque est active depuis août 2022. Nous avons notifié ce site, ainsi que d'autres sites, de cette attaque.
En approfondissant nos recherches, nous avons trouvé un article de Decoded Avast datant de novembre 2022 dans lequel le domaine guyacave[.]fr était déjà signalé comme malveillant.
Ils écrivent :
Les attaquants ont également exploité d'autres sites légitimes, notamment des sites vendant des vêtements, des chaussures, des bijoux, des meubles et des fournitures médicales, pour héberger leur code de skimming. Plus précisément, ils ont utilisé guyacave[.]fr, servair[.]com et stripefaster[.]com. Les attaquants ont exfiltré les données de paiement via des requêtes POST vers des URL telles que guyacave[.]fr/js/tiny_mce/themes/modern/themes.php et des URL similaires pour les autres domaines. Dans certains cas, la requête POST était envoyée au site e-commerce infecté lui-même, ce qui indique que l'attaquant dispose d'un accès complet aux sites compromis. Nous avons protégé près de 17 000 utilisateurs dans le monde contre ce webskimmer.
L'URL inline : _0x800b[140];var _0xb61ex27= new XMLHttpRequest();_0xb61ex27_0x800b[143];_0xb61ex27_0x800b[144] — présente dans le script — indique qu'il utilise une requête XML HTTP pour envoyer les données de paiement confidentielles vers un endpoint externe. En l'occurrence, https://guyacave[.]fr/js/tiny_mce/themes/modern/themes.php.
Le script contient des fonctions de lecture et d'écriture de cookies, probablement utilisées pour voler les cookies de session et d'autres informations sensibles stockées dans le navigateur.
Nous avons également trouvé la fonction Math.random() servant à créer des éléments dynamiques. C'est précisément ce qui rend les scripts tiers dangereux et leur sécurisation indispensable. Tout script tiers est par nature dynamique et peut évoluer en fonction de toutes sortes de paramètres. Cette fonction Math.random() permet de contourner les méthodes de détection simples basées sur les signatures.
Le moteur de cside est plus avancé et a été capable de détecter et de bloquer ce script malveillant lors de nos tests.
Enfin, le script manipule l'interface du site web pour masquer certains éléments — via la simple fonction display:none — afin d'afficher un faux formulaire de paiement à la place du vrai.
Les flux de menaces (threat feeds) constituent le principal moyen pour les entreprises de s'informer sur les domaines malveillants liés à leur site web. Chez cside, nous ne pensons pas que ce soit la meilleure solution pour la sécurité côté client.
La 1ère raison pour laquelle les flux de menaces ne suffisent pas
À ce jour, seulement 10 des 96 fournisseurs de sécurité sur VirusTotal ont signalé ce domaine comme malveillant. Les flux de menaces ont leur utilité, mais ils sont insuffisants pour la sécurité côté client. Cette attaque démontre que même après 2 ans, la plupart des flux n'ont pas rattrapé leur retard. Dans le meilleur des cas, ils détectent et alertent après coup. Dans le pire des cas, l'attaque passe inaperçue pendant des années.
La prévention, l'étape suivante
Même si le domaine avait été signalé plus tôt et par davantage de flux, les attaquants pourraient simplement en chercher un nouveau qui répond à leurs besoins.
Les flux de menaces reposent sur la vérification de la source — en l'occurrence le domaine — et non sur le contenu du code. Cela rend la détection pratiquement impossible tant que quelqu'un ne le signale pas manuellement. Les flux de menaces constituent donc une solution réactive, et non préventive.
Lors de nos tests, cside a été capable de détecter et de bloquer ce script malveillant ainsi que ce domaine. Si ces sites web, ou les plateformes sur lesquelles ils ont été construits, avaient eu cside en place, cette attaque aurait été détectée et stoppée immédiatement.
À chaque session, nous chargeons les scripts tiers dans un proxy sécurisé qui analyse le contenu réel du script, et pas seulement ses sources et domaines. Si nous détectons quoi que ce soit de suspect, nos clients sont alertés et le script est bloqué avant de se charger dans le navigateur du visiteur du site.
Vous pouvez vous inscrire à cside et protéger votre site en quelques minutes.
