Les pirates combinent la technique de l'homoglyphe avec le script Magecart pour cibler les victimes

Une nouvelle campagne d'écrémage de cartes de crédit a été trouvée exploitant le kit et les favicons d'Inter pour masquer les activités d'écrémage.

Contexte 

Selon les chercheurs, le groupe Magecart 8 - connu pour cibler les sites Web de commerce électronique à l'aide de faux domaines et de petites images de favicon - était à l'origine de la campagne d'écrémage.

  • Cette campagne d'écrémage a été observée début août 2020 dans laquelle des attaquants ont utilisé plusieurs faux noms de domaine pour charger le kit d'écrémage Inter dans un fichier .ico (un fichier favicon).
  • Les pirates ont utilisé les techniques d'homoglyphes, dans lesquelles ils exploitent de faux noms de domaine qui semblent légitimes en raison d'alphabets d'apparence similaire.

Comment fonctionne l'attaque ?

  • Lorsqu'un visiteur clique sur le bouton «Soumettre», le kit Inter vole les données remplies sur la page Web et les envoie au serveur de l’attaquant.
  • Les attaquants ont créé de faux domaines, tels que «cigarpaqe[.]com», qui ressemble au véritable domaine «cigarpage[.]com». De même, fleldsupply[.]com pour fieldsupply[.]com et winqsupply[.]com pour wingsupply[.]com pour inciter les gens à exposer leurs informations d'identification.

Comment s'en protéger ?

L'utilisation d'une combinaison de faux domaines similaires, ainsi que de sites Web légitimes, rend difficile la prévention des attaques Magecart en utilisant un ensemble défini de politiques. Les chercheurs recommandent d'utiliser des solutions de protection des applications côté client en temps réel pour empêcher les attaques de scripts malveillants basées sur Magecart.

Source : Cyware