S'inscrire

Cybersécurité - 13/01/2025

Les skimmers WordPress échappent à la détection en s’injectant dans les tables de base de données

Hacker utilisant un outil de cybersécurité

Les chercheurs en cybersécurité mettent en garde contre une nouvelle campagne furtive d’écrémage de cartes de crédit qui cible les pages de paiement du commerce électronique WordPress en insérant du code JavaScript malveillant dans une table de base de données associée au système de gestion de contenu (CMS).

« Ce malware de skimmer de carte de crédit ciblant les sites Web WordPress injecte silencieusement du JavaScript malveillant dans les entrées de la base de données pour voler des informations de paiement sensibles », a déclaré Puja Srivastava, chercheur à Sucuri, dans une nouvelle analyse.

« Le logiciel malveillant s’active spécifiquement sur les pages de paiement, soit en détournant les champs de paiement existants, soit en injectant un faux formulaire de carte de crédit. »

La société de sécurité de sites Web appartenant à GoDaddy a déclaré avoir découvert le malware intégré dans la table wp_options de WordPress avec l’option « widget_block », lui permettant ainsi d’éviter la détection par les outils d’analyse et de persister sur les sites compromis sans attirer l’attention.

Ce faisant, l’idée est d’insérer le JavaScript malveillant dans un widget de bloc HTML via le panneau d’administration WordPress (wp-admin > widgets).

Le code JavaScript fonctionne en vérifiant si la page actuelle est une page de paiement et garantit qu’elle n’entre en action qu’une fois que le visiteur du site est sur le point de saisir ses informations de paiement, auquel cas il crée dynamiquement un faux écran de paiement qui imite les processeurs de paiement légitimes comme Stripe.

Le formulaire est conçu pour capturer les numéros de carte de crédit des utilisateurs, les dates d’expiration, les numéros CVV et les informations de facturation. Alternativement, le script malveillant est également capable de capturer les données saisies sur les écrans de paiement légitimes en temps réel pour maximiser la compatibilité.

Les données volées sont ensuite codées en Base64 et combinées avec un chiffrement AES-CBC pour les rendre inoffensives et résister aux tentatives d’analyse. Dans la dernière étape, elles sont transmises à un serveur contrôlé par l’attaquant (« valhafather[.]xyz » ou « fqbe23[.]xyz »).

Cette évolution intervient plus d’un mois après que Sucuri a mis en évidence une campagne similaire qui exploitait un logiciel malveillant JavaScript pour créer dynamiquement de faux formulaires de carte de crédit ou extraire des données saisies dans les champs de paiement sur les pages de paiement.

Les informations récoltées sont ensuite soumises à trois couches d’obscurcissement en les codant d’abord en JSON, en les cryptant XOR avec la clé « script » et enfin en utilisant l’encodage Base64, avant l’exfiltration vers un serveur distant (« staticfonts[.]com »).

« Le script est conçu pour extraire des informations sensibles sur les cartes de crédit à partir de champs spécifiques de la page de paiement », a indiqué Srivastava. « Le logiciel malveillant collecte ensuite des données utilisateur supplémentaires via les API de Magento, notamment le nom, l’adresse, l’e-mail, le numéro de téléphone et d’autres informations de facturation de l’utilisateur. Ces données sont récupérées via les données client et les modèles de devis de Magento. »

La divulgation fait également suite à la découverte d’une campagne de courrier électronique d’hameçonnage à motivation financière qui incite les destinataires à cliquer sur les pages de connexion PayPal sous le couvert d’une demande de paiement en attente d’un montant de près de 2 200 $.

« L’escroc semble avoir simplement enregistré un domaine de test Microsoft 365, gratuit pendant trois mois, puis créé une liste de distribution (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) contenant les e-mails des victimes », a déclaré Carl Windsor, de Fortinet FortiGuard Labs . « Sur le portail Web de PayPal, ils demandent simplement l’argent et ajoutent la liste de distribution comme adresse. »

Ce qui rend la campagne sournoise est le fait que les messages proviennent d’une adresse PayPal légitime (service@paypal.com) et contiennent une véritable URL de connexion, ce qui permet aux e-mails de passer outre les outils de sécurité.

Pour couronner le tout, dès que la victime tente de se connecter à son compte PayPal concernant la demande de paiement, son compte est automatiquement lié à l’adresse e-mail de la liste de distribution, permettant à l’acteur malveillant de détourner le contrôle du compte.

Ces dernières semaines, des acteurs malveillants ont également été observés en train d’exploiter une nouvelle technique appelée « usurpation de simulation de transaction » pour voler des cryptomonnaies dans les portefeuilles des victimes.

« Les portefeuilles Web3 modernes intègrent la simulation de transaction comme une fonctionnalité conviviale », a déclaré Scam Sniffer . « Cette capacité permet aux utilisateurs de prévisualiser le résultat attendu de leurs transactions avant de les signer. Bien que conçu pour améliorer la transparence et l’expérience utilisateur, les attaquants ont trouvé des moyens d’exploiter ce mécanisme. »

Écumeurs WordPress />

Les chaînes d’infection impliquent de tirer parti de l’écart de temps entre la simulation et l’exécution des transactions, permettant aux attaquants de créer de faux sites imitant des applications décentralisées (DApps) afin de mener des attaques frauduleuses de vidage de portefeuille.

« Ce nouveau vecteur d’attaque représente une évolution significative des techniques de phishing », a déclaré le fournisseur de solutions anti-arnaque Web3. « Plutôt que de s’appuyer sur une simple tromperie, les attaquants exploitent désormais les fonctionnalités de portefeuille de confiance sur lesquelles les utilisateurs comptent pour leur sécurité. Cette approche sophistiquée rend la détection particulièrement difficile. »100

Sujets récents