Un acteur de la menace a infecté un magasin de commerce électronique avec un skimmer de carte de crédit personnalisé conçu pour siphonner les données volées par un voleur de cartes Magento précédemment déployé.

Les skimmers de cartes de crédit (également appelés skimmers de cartes de paiement ou scripts Magecart) sont des scripts JavaScript que des groupes de cybercriminalité connus sous le nom de groupes Magecart injectent dans des sites de commerce électronique piratés dans le cadre d’attaques d’écrémage Web (également appelées e-skimming).

Leur objectif final est de voler le paiement et les informations personnelles soumis par les clients des magasins piratés et de les collecter sur des serveurs distants sous leur contrôle.

Voler des voleurs

Les chercheurs en sécurité de Malwarebytes ont découvert le skimmer superposé en enquêtant sur une vague massive de boutiques en ligne compromises à court d’installations de support Magento 1.

Même s’il n’est pas rare de repérer plusieurs scripts de skimmer de cartes sur la même boutique en ligne, celui-ci se démarque par sa nature hautement spécialisée.

«Les acteurs de la menace ont conçu une version de leur script qui prend en compte les sites déjà injectés avec un skimmer Magento 1», explique Jérôme Segura, responsable de Threat Intelligence de Malwarebytes dans un rapport partagé au préalable avec Bleeping Computer.

« Ce deuxième skimmer récoltera simplement les détails de la carte de crédit à partir du faux formulaire déjà existant injecté par les attaquants précédents. »

Et les efforts des acteurs de la menace pour mettre la main sur les informations financières des clients de la boutique en ligne ne se sont pas arrêtés là: ils ont également déployé une deuxième version de leur skimmer conçue pour injecter des champs de formulaire de paiement qui imitent étroitement le processeur de paiement légitime de la boutique.

Costway, le détaillant touché par cette attaque, a utilisé le logiciel Magento 1 sur ses boutiques en ligne en France, au Royaume-Uni, en Allemagne et en Espagne, qui a été compromis vers la même date que celle repérée par les robots d’exploration de Malwarebytes.

Le skimmer déployé par le premier acteur menaçant qui a piraté les sites de Costway a injecté son …