Quand des hackers cachent des données bancaires dans des JPG

Plus tôt ce mois-ci, SucuriBlog nous a rapporté que les pirates informatiques ont utilisé une nouvelle méthode « innovante » pour voler les informations confidentielles des internautes, en particulier sur les plateformes de commerce en ligne.

En effet, une récente étude sur un site Web Magento 2 piraté a révélé que les pirates informatiques ont injecté un malware pouvant capturer les données de demandes POST des visiteurs du site. Le malware a été placé sur l’interface de paiement et servait à encoder des données capturées pour ensuite, les enregistrer dans un fichier JPG.

Photo de Clint Patterson – Unsplash.com

D’après les informations de SucuriBlog, un code PHP a été injecté dans le fichier ./vendor/magento/module-customer/Model/Session.php. Une fonction getAuthenticates aurait également été présente sur le site piraté qui servait à charger le reste du code malveillant.

En stockant les données volées sur un fichier JPG, les pirates n’éveillent pas les soupçons des propriétaires de sites

En fait, le code a créé un fichier image (pub/media/tmp/design/file/default_luma_logo.jpg) sur lequel il stocke toutes les données capturées. Le pirate informatique se sert ainsi de ce code pour télécharger et accéder facilement aux données volées tout en n’éveillant pas les soupçons du gérant du site puisque ces données sont stockées dans un JPG qui, au prime abord, a l’air tout à fait banal.

Néanmoins, le code PHP utilise le framework de code Magento pour capturer les données POST. Pour ce faire, il a recours a la fonction Magento getPostValue pour sauvegarder les données sur l’interface de paiement dans la fonction Customer_POST.

Des professionnels de la cybersécurité pourraient prévenir ces attaques

Le code se sert ensuite de la fonction Magento isLoggedIN pour vérifier si la victime s’est connectée au site en tant qu’utilisateur. Dans ce cas-là, le code récupère aussi son adresse e-mail. Les données POST capturées sont encodées en base64 et sauvegardées sur le même fichier JPG. Parmi les informations volées, on retrouve les noms et adresses complets des victimes, les détails de leur carte de paiement et leurs numéros de téléphone.

Selon SucuriBlog, une fois entre les mains des pirates informatiques, ces données peuvent leur servir à effectuer des fraudes par carte de crédit ou encore à commettre des campagnes de phishing ciblées et à envoyer des courriels indésirables aux victimes. Pour contrer ces attaques, les experts recommandent de faire appel à des services de surveillance de sites web, qui détecteront tous les modifications ou l’ajout de nouveaux fichiers sur le site web.