Les pirates exploitent activement une vulnérabilité pour injecter un script obscurci dans les sites Web de commerce électronique basés sur Magento. Le malware est chargé via Google Tag Manager, leur permettant de voler les numéros de carte de crédit lorsque les clients consultent. Une porte dérobée PHP cachée est utilisée pour conserver le code sur le site et voler les données utilisateur.
L’écumoire de la carte de crédit a été découverte par des chercheurs en sécurité de SucUri qui conseillent que le malware a été chargé à partir d’une table de base de données, CMS_BLOCK.Content. Le script Google Tag Manager (GTM) sur un site Web semble normal car le script malveillant est codé pour échapper à la détection.
Une fois que le malware était actif, il enregistrerait les informations de carte de crédit à partir d’une page de paiement de commerce électronique Magento et l’envoyer à un serveur externe contrôlé par un pirate.
Les chercheurs de la sécurité de SUCURI ont également découvert un fichier PHP de porte dérobée. Les fichiers PHP sont les «blocs de construction» de nombreux sites Web dynamiques construits sur des plates-formes comme Magento, WordPress, Drupal et Joomla. Ainsi, un fichier PHP malware, une fois injecté, peut fonctionner dans le système de gestion de contenu.
Ceci est le fichier PHP que les chercheurs ont identifié:
./media/index.php.
Selon l’avis publié sur le site Web de SucUri:
«Au moment de la rédaction de cet article, nous avons constaté qu’au moins 6 sites Web étaient actuellement infectés par cet ID particulier Google Tag Manager, indiquant que cette menace affecte activement plusieurs sites.
EUROWEBMONITORTOOL (.) COM est utilisé dans cette campagne malveillante et est actuellement en blocage par 15 fournisseurs de sécurité chez Virustotal. »
VirUstotal.com est un service de sécurité du crowdsourced qui fournit une analyse de fichiers gratuite et agit comme un agrégateur d’informations.
SUCURI conseille les étapes suivantes pour nettoyer un site Web infecté:
- «Retirez toutes les balises GTM suspectes. Connectez-vous à GTM, identifiez et supprimez toutes les balises suspectes.
- Effectuez une analyse complète du site Web pour détecter tout autre logiciel malveillant ou déropites.
- Retirez tous les scripts malveillants ou fichiers de porte dérobée.
- Assurez-vous que Magento et toutes les extensions sont à jour avec des correctifs de sécurité.
- Surveillez régulièrement le trafic du site et GTM pour toute activité inhabituelle. »
Lisez l’avis de Sucuri:
Google Tag Manager Skimmer vole les informations sur la carte de crédit du site Magento
Image en vedette par Shutterstock / SDX15