Magecart : une régie française visée par un groupe cybercriminel

MagecartLes attaques Magecart ont la cote depuis plus d’un an, et il fallait bien qu’un jour ou l’autre les cybercriminels s’intéressent aux sociétés françaises. Comme le révèle Trend Micro, la régie publicitaire Adverline a été visée par une attaque de ce type, qui consiste à injecter des scripts JavaScript malveillants sur la page de formulaire de paiement afin de subtiliser les informations de carte bleue des utilisateurs. Selon Trend Micro, ce modus operandi aurait été repéré sur des publicités servies par la régie Adverline, une société appartenant au groupe Docapost, lui-même filiale du groupe la poste.

Au total, les scripts malveillants auraient été publiés sur 277 sites d’e-commerce au début du mois de janvier (du 1er au 6). La campagne a été découverte par Trend Micro, qui a rapidement averti Adverline. L’affaire a ensuite été prise en main par le CERT La Poste, qui a désactivé l’injection de scripts malveillants. Au total, le groupe estime que l’opération aurait permis aux attaquants de récupérer les informations de carte de crédit d’une centaine d’utilisateurs. Trend Micro explique avoir détecté un peu plus de 14 000 transferts de données lors de la semaine de l’attaque.

Le script malveillant était chargé avec le script de retargeting publicitaire utilisé par Adverline pour traquer les internautes. Interrogée par 01net, la régie publicitaire explique que ce script n’était pas censé être utilisé sur des pages traitant des données sensibles, mais que huit sites travaillant avec la régie ont outrepassé cette règle et ont donc permis aux attaquants d’accéder à ces données.

Un type d’attaque en vogue

Trend Micro explique dans un post de blog que le modus operandi du groupe les a conduits à attribuer l’attaque au groupe 12. La société RiskIQ avait en effet publié en novembre 2018 un rapport identifiant les différents groupes à l’origine de ces attaques, que l’on a pendant longtemps attribuées à un seul groupe. Dans ce document, les chercheurs étaient parvenus à identifier une dizaine de groupes différents ayant recours à ces techniques.

Les détails varient, mais l’approche est généralement la même : les groupes de cybercriminels cherchent un moyen d’injecter un script JavaScript sur un site d’e-commerce, soit en s’attaquant directement au site ou en passant par une publicité malveillante comme c’était le cas ici. Les scripts utilisés par ces groupes disposent fréquemment de fonctionnalités visant à limiter la détection de ces attaques : celui diffusé via Adverline par exemple ne s’activait que lorsqu’il détectait la présence d’une page de type « panier » ou l’utilisateur était invité à entrer ses données de carte bancaire.

Retrouvez cet article sur Zdnet.fr