Des hackers dérobent des données bancaires grâce à des icônes de sites web

Publié le

Les méthodes de piratage ne cessent d’évoluer. Les cybercriminels sont perpétuellement à la recherche de nouveaux stratagèmes pour voler des données sensibles ou infecter des machines. Le jeu du chat et de la souris entre les entreprises de cybersécurité et les hackers est donc bien loin d’être terminé. Pour preuve, récemment des hackers sont parvenus à dissimuler un script malveillant dans une image favicon (icone symbolisant un site web) pour échapper aux systèmes de détection des entreprises de cybersécurité.

carte bancaires

Des skimmers cachés dans des métadonnées favicon

Les skimmers sont des outils malveillants permettant de récupérer des coordonnées bancaires. Il s’agit d’une méthode courante qui consiste le plus souvent à injecter des scripts (JavaScript) malveillants qui vont enregistrer les informations de paiement soumises par un client dans un formulaire sur une boutique web. En règle générale, les coordonnées bancaires sont ensuite transférées vers un serveur contrôlé par les pirates. Par la suite, ces données seront utilisées pour faire des achats frauduleux ou être revendues au marché noir sur le fameux Darknet.

Page d’un market illégal

Pour en savoir plus sur les techniques de vol de données bancaires, consultez notre dossier dédié.

Ce stratagème évolue constamment. Récemment, Malwarebytes a mis en lumière une nouvelle approche. Cette fois, les hackers, n’ont pas ajouté de script malveillant directement sur le site corrompu, mais dans les métadonnées de l’image favicon du site en question. Malwarebytes explique que dissimuler des éléments malveillants dans des métadonnées n’est pas un phénomène un nouveau. Cependant, c’est la première fois que la société se dit témoin de la présence d’un skimmer dans de telles données.

Comment fonctionne cette attaque ?

En temps normal, les métadonnées de l’image favicon appelées EXIF contiennent des informations comme le nom de l’artiste derrière l’image, les licences, ou encore des informations sur l’appareil photo ou des coordonnées GPS, lorsqu’il s’agit d’un cliché. Ici, les cybercriminels ont piraté un site web marchand et injecté une autre image favicon paraissant inoffensive à première vue. En réalité, cette image embarquait des scripts malveillants. Une fois ces scripts chargés, toutes les informations relatives aux cartes bancaires soumises au moment du paiement étaient collectées par les pirates. Une telle ruse n’est pas facilement détectable.

Source : Malwarebytes

Malwarebytes déclare avoir trouvé le kit malveillant permettant de la mettre en pratique. Selon l’éditeur de sécurité, le kit aurait été élaboré par un groupe nommé Magecart 9. Ces cybercriminels avaient déjà fait parler d’eux dans le passé pour d’autres techniques d’offuscation avancées. L’éditeur affirme continuer sa traque contre les skimmers pour protéger les sites marchands et leurs clients. Quant à nous, nous vous recommandons la plus grande prudence car des sites populaires tels que Bristish Airways ou encore Tupperware ont déjà été la cible de skimmers.

Source : Malwarebytes via Bleeping Computer

80% de réduction sur Norton Security Guard!

à partir de 24.99 € au lieu de 119.99 € TTC (2 ans)

  • Protection complète de l’ordinateur
  • Protection de la vie privée
  • Mises à jour régulières
  • 175 Millions d’utilisateurs actifs!

Comments (2)

  • AhOui Répondre

    Cette faille a 15 ans. Les réels bandits sont ceux qui gèrent le site…

    26 juin 2020 à 18:08
    • Alain Répondre

      Bonjour Ahoui , comment çà 15 ans peut tu en dire plus , et de ce site mal géré , lequel es M…bytes? merci

      2 juillet 2020 à 01:02

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet