Les skimmers Web Magecart ont été trouvés sur les sites Web de huit villes des États-Unis et une chose qu’ils ont en commun est qu’ils utilisent tous la plateforme Click2Gov, rapporte Trend Micro.

Conçue pour l’engagement communautaire, le signalement des problèmes et les paiements en ligne, la plateforme Web Click2Gov est utilisée par les gouvernements locaux à travers les États-Unis et a été victime d’acteurs de menace motivés par des considérations financières en 2018 et 2019.

Cependant, la nouvelle vague d’attaques ne semble pas être liée à des incidents précédents, du moins pas d’un point de vue technique, selon les chercheurs en sécurité de Trend Micro. Ils ont également révélé que sept des villes touchées avaient été ciblées lors d’incidents précédents.

Dans le cadre des attaques, qui ont probablement commencé le 10 avril 2020, les pirates ont placé un skimmer basé sur JavaScript personnalisé sur les sites Web compromis, pour collecter et exfiltrer les données de carte de crédit et les informations personnelles des résidents, typique d’un compromis Magecart.

Le code d’écrémage, spécialement conçu pour cibler les formulaires de paiement Click2Gov, est déclenché lorsque la victime effectue un paiement en ligne sur le site Web compromis.

Les données ciblées par le code comprennent le numéro de carte de crédit, le numéro CVV, la date d’expiration et le nom, l’adresse et la zone de code postal du titulaire de la carte. Une requête HTTP POST est utilisée pour envoyer les informations collectées à un serveur distant.

Les chercheurs de Trend Micro ont identifié deux serveurs d’exfiltration qui ont été exploités dans le cadre de la campagne, hébergeant à la fois l’écrémeur JavaScript et un fichier .JSP utilisé pour recevoir les données récoltées.

«L’un des serveurs a été utilisé pour trois sites, tandis que l’autre serveur a été utilisé pour les cinq autres sites. Les deux skimmers utilisés sont identiques, à l’exception du changement de nom d’hôte des serveurs d’exfiltration », explique Joseph C. Chen, chercheur en fraude chez Trend Micro.

Sur les huit villes touchées, sept ont été impliquées dans des attaques précédentes: cinq dans …

Voir la source de cette publication