Les pirates cachent les données de carte de crédit volées dans un fichier JPG

La cybercriminalité est en constante évolution comme le révèlent les nouvelles techniques de piratage et les méthodes de phishing toujours plus sophistiquées. Dernière nouveauté du côté des hackers : cacher les données de carte de crédit volées dans un fichier JPG, une nouvelle méthode de vol furtif récemment découverte par des chercheurs de Sucuri.

Réduire le trafic suspect

Des chercheurs en cybersécurité ont récemment découvert une nouvelle méthode de vol furtif de données de carte de crédit. Dans cette nouvelle technique de fraude, le pirate va cacher les informations sous forme de fichier JPG avant de les stocker seul au lieu d’envoyer des informations de carte bancaire volée à un serveur contrôlé. Cela peut aider à réduire le trafic suspect et permettre aux pirates de mieux se cacher et d’éviter d’être détectés.

Ce sont les chercheurs de la société Sucuri qui sont tombés sur cette technique de fraude lors d’une enquête sur le piratage d’une boutique en ligne exécutant la version 2 de la plateforme open source de e-commerce Magento. Ils ont découvert des attaques de type Magecart, une forme de piratage identifiée pour la première fois il y a deux ans. 

Concrètement, les cybercriminels tentent d’accéder aux boutiques en ligne en exploitant les vulnérabilités ou les faiblesses de la plateforme. Ils utilisent ensuite un code malveillant pour voler des données, généralement des informations de cartes de crédit des clients sur la plateforme cible.

Créer une attaque furtive via les fichiers JPG

La technique furtive nouvellement découverte est totalement inédite. Les experts de Sucuri ont trouvé un fichier PHP modifié par les pirates sur le site web compromis. Avec ce fichier modifié en code malveillant, ils ont généré et appelé la fonction getAuthenticates. Cela permet essentiellement aux attaquants de télécharger facilement les informations qu’ils ont volées sous forme de fichier JPG sans déclencher l’alerte pendant le processus de téléchargement

Autrement dit, les pirates peuvent ainsi se faire passer pour un visiteur lambda qui télécharge une image à partir d’un site web. Après avoir analysé le code, les chercheurs ont déterminé que le code malveillant utilisait le framework Magento pour capturer des informations à partir de la page de paiement fournie via le paramètre Customer. Et si le client ayant fourni les données de la carte était connecté en tant qu’utilisateur, ce code vole également son adresse e-mail.

Cette technique peut être utilisée pour une fraude directe par carte de crédit par un pirate informatique ou par une autre partie qui achète ces données. Elle peut également être utilisée pour déployer des campagnes de phishing et de spam plus importantes et plus ciblées. Dans l’ensemble, cette approche est suffisamment sophistiquée pour que les équipes de sécurité des sites e-commerce puissent la rater lors de la fouille du système. Cependant, les services de contrôle d’intégrité et de surveillance du site web sont toujours pleinement capables de détecter les changements tels que les modifications de code ou les fichiers nouvellement ajoutés.

Pin It on Pinterest