Un acteur derrière le kit d’écumeur Magecart

Une nouvelle recherche de RiskIQ a conclu qu’il ya un groupe de piratage responsable de la trousse d’écumoire Inter derrière les attaques Magecart, qui compromet un site de commerce électronique toutes les 16 minutes. RiskIQ a indiqué que plus de 1 500 sites Web ont été infectés.

Le mois dernier, la détaillant de bijoux et d’accessoires Claire’s a été forcée de retirer un écumeur de carte de crédit Magecart de son site Web. Le site semble avoir été piraté en mars pour profiter de la fermeture de ses magasins de grande rue pendant la pandémie de coronavirus Covide-19.

Décrivant les résultats dans un billet de blog, Jordan Herman, chercheur sur la menace RiskIQ, a décrit le kit d’écumoire Inter comme une « solution d’écrémage numérique prolifique » utilisée par plusieurs acteurs de Magecart.

Avec Magecart, RiskIQ a constaté que l’écumeur Inter a également des connexions à ransomware, flux rapide DNS services, et les domaines suspects potentiellement utilisés pour le phishing ou les logiciels malveillants de commande et d’activité de contrôle.

Herman a déclaré que l’acteur derrière le kit a utilisé plusieurs alias, mais est le plus largement et récemment connu sous le nom « Sotchi ».

En 2016, un acteur utilisant le pseudonyme « poter » a développé un kit d’attaque appelé l’écumeur SniFall, selon Herman. RiskIQ a déterminé qu’un kit d’attaque ultérieur, « Inter », publié en 2018 par Sotchi, utilisait la même infrastructure, qui suggère selon elle que « poter » et Sotchi sont le même acteur.

Les activités de vente souterraine du développeur ont été documentées dans un rapport de 2018 de RiskIQ et Flashpoint intitulé A l’intérieur de Magecart. Le rapport a révélé que le kit vendu par poter en juillet 2016 était au prix de 5 000 $. Parmi les fonctionnalités et les fonctions revendiquées par le développeur dans les publicités en ligne pour poter a été la possibilité de supprimer toutes les entrées en double parmi les données écrémées, une fonctionnalité qui a également été inclus dans les écumeurs plus tard créé par cet acteur, Herman a déclaré dans le post.

RiskIQ a rapporté que le 2 décembre 2016, Sotchi a affiché un nouveau pitch de vente en russe pour le dernier écumeur (maintenant appelé Inter). Herman a déclaré Sotchi a également mis à jour la structure de paiement, fixant le prix de licence du nouvel écumeur à 1 300 $.

« Cette fois, ils ont inclus une option pour un arrangement de partage des bénéfices 30/70 au lieu des frais. Cette baisse des prix et une attitude plus souple sur les options de paiement ont probablement indiqué une popularité accrue des produits », a noté Herman dans le billet de blog.

RiskIQ a constaté que l’écumeur est en constante évolution, utilisant différentes approches pour éviter la détection depuis 2017 et au début de 2018. Selon Herman, d’autres premières versions de l’Inter Skimmer ont probablement été utilisées à des fins de recherche et développement. Plusieurs variantes ont été mises en œuvre, qui, selon RiskIQ, étaient axées sur l’obscurcissement et le chiffrement du code d’écrémage afin d’éviter d’être détecté.

Ces améliorations ont rendu les attaques Magecart basées sur le kit d’écrémage inter plus puissant. « Aujourd’hui, le kit d’écrémage inter est extrêmement efficace et plus difficile à détecter en raison de cette amélioration continue », a déclaré Herman. « Les écumeurs Inter modernes peuvent même intégrer un service d’obscurcissement si l’acteur a accès à une clé API pour accéder à une variété beaucoup plus large de techniques d’obscurcissement.

« D’autres nouvelles fonctionnalités comprennent la création de faux formulaires de paiement sur des sites qui utilisent des fournisseurs de services de paiement, tels que PayPal, et des vérifications rapides et automatiques des nouvelles données exfiltrées par rapport aux données précédemment écrémées via MD5 et des informations sur les cookies pour identifier et supprimer les doublons. »