Magecart a signalé cibler diverses plates-formes d’impression de magazines

Les chercheurs ont signalé une opération d’écrémage Megacart qui ciblait les plates-formes telles que la société d’impression de magazines depuis plus de 2,5 ans. Les enregistreurs de frappe s’exécutent sur les pages Web de paiement de ces plates-formes afin de mener l’attaque contre les informations de carte de paiement du client et des données similaires.

L’attaque de Megacart a été vue active en 2017. Ses victimes sont celles qui se sont abonnées à la version imprimée de ESPN Maganize, Stars and stripes, à une publication militaire et à de nombreux autres sites similaires de la même plate-forme d’impression. Selon le rapport des chercheurs, au moins 18 enregistreurs de frappe ont été utilisés pour collecter les informations de carte de crédit des groupes de piratage pendant 20 mois.

Les acteurs malveillants ont synchronisé les skimmers de cartes de crédit avec de faux domaines de réseau de distribution de contenu afin de cacher le trafic. Les scripts malveillants sont injectés dans les pages de paiement des magasins de commerce électronique après le piratage des sites. L’objectif principal des attaquants à l’origine de l’attaque Megacart est de collecter les données soumises par les utilisateurs sur la plateforme de paiement.

On constate que le logiciel proxy ngrok a été utilisé pour permettre aux fraudeurs de créer un schéma personnalisé et d’essayer d’échapper à la détection. Les détails sur les domaines des réseaux de diffusion de contenu, contenaient du code malveillant et d’autres ont été analysés sur la bibliothèque. Une fois que la page de paiement correspond, les données URL sont collectées sur la plateforme. Ces données comprennent:

  • Noms d’utilisateur,
  • Adresses,
  • Emails,
  • Les numéros de téléphone,
  • Informations sur la carte de crédit

Jerome Segura, un chercheur, qui a exposé ce site Web écrémé a déclaré:

Les acteurs de la menace savent qu’ils ont généralement une petite fenêtre d’opportunité avant que leur infrastructure ne soit détectée et éventuellement arrêtée. Ils peuvent concevoir des astuces astucieuses pour masquer leur activité en plus d’utiliser des domaines qui sont frais ou appartiennent à des propriétaires légitimes (mais abusés).