Le service de vol de cartes de crédit Caramel gagne en popularité

Credit card on a laptop

Un service de vol de cartes de crédit gagne en popularité, offrant à tout acteur malveillant peu qualifié un moyen simple et automatisé de se lancer dans le monde de la fraude financière.

Les écumeurs de cartes de crédit sont des scripts malveillants qui sont injectés dans des sites Web de commerce électronique piratés qui attendent tranquillement que les clients effectuent un achat sur le site.

Une fois l’achat effectué, ces scripts malveillants volent les détails de la carte de crédit et les renvoient à des serveurs distants pour qu’ils soient collectés par des pirates.

Les acteurs de la menace utilisent ensuite ces cartes pour effectuer leurs propres achats en ligne ou vendre les détails de la carte de crédit sur les marchés du dark web à d’autres acteurs de la menace pour aussi peu que quelques dollars.

L’écumoire Caramel en tant que service

Le nouveau service a été découvert par Outils de domainequi déclare que la plate-forme est exploitée par une organisation russe de cybercriminalité nommée « CaramelCorp ».

Ce service fournit aux abonnés un script de skimmer, des instructions de déploiement et un panneau de gestion de campagne, qui est tout ce dont un acteur malveillant a besoin pour lancer sa propre campagne de vol de carte de crédit.

Le service Caramel ne vend qu’aux pirates russophones, en utilisant un processus de vérification initial qui exclut ceux qui utilisent la traduction automatique ou qui sont inexpérimentés dans ce domaine.

Un abonnement à vie coûte 2 000 $, ce qui n’est pas bon marché pour les cybercriminels en herbe, mais promet aux hackers russophones un support client complet, des mises à niveau de code et des mesures anti-détection en constante évolution.

Ecumeur à caramel déployé sur un site nigérian
Ecumeur à caramel déployé sur un site nigérian (Outils de domaine)

Les vendeurs affirment sans vérification que Caramel peut contourner les services de protection de Cloudflare, Akamai, Incapsula et autres.

Les acheteurs reçoivent un guide de « démarrage rapide » sur les méthodes JavaScript qui fonctionnent particulièrement bien dans des CMS (systèmes de gestion de contenu) spécifiques.

Comme les scripts d’écrémage des cartes de crédit sont écrits en JavaScript, Caramel propose aux abonnés une variété de techniques d’obscurcissement pour éviter qu’ils ne soient facilement détectés.

L'outil d'obfuscateur Caramel JS
L’outil d’obfuscateur Caramel JS (Outils de domaine)

La collecte des données de carte de crédit se fait via la méthode « setInterval() », qui exfiltre les données entre des périodes fixes. Bien que cela ne semble pas être une méthode efficace, cela peut aider à voler les détails des paniers même abandonnés et des achats incomplets.

Enfin, l’administration des campagnes se fait via un panel où l’abonné peut superviser les e-boutiques compromises, gérer les passerelles de réception des données volées, etc.

Panneau de caramel
Le panneau de contrôle de Caramel (KELA)

En activité depuis 2020

Les campagnes d’écrémage ne sont pas nouvelles, et Caramel non plus. EZpublish-france.fr a pu trouver les premières publications sur le dark web proposant le kit à l’achat en décembre 2020.

Article 2020 faisant la promotion de Caramel
Article 2020 faisant la promotion de Caramel (KELA)

Cependant, le développement et la promotion continus ont aidé Caramel à devenir plus populaire dans la communauté underground.

L’existence de Caramel et d’autres services d’écrémage de ce type supprime la barrière technique à la mise en place et à l’exploitation de campagnes d’écrémage de cartes à grande échelle, rendant potentiellement les campagnes d’écrémage encore plus courantes.

Pour les clients des plateformes de commerce électronique, vous pouvez vous protéger des écumeurs de cartes de crédit en utilisant des cartes privées à usage unique, en définissant des limites et des restrictions de facturation, ou simplement en utilisant des systèmes de paiement en ligne au lieu de cartes.