Un magasin de Segway piraté pour voler les cartes de crédit des clients

segway

La boutique en ligne de Segway a été compromise pour inclure un script Magecart malveillant qui permettait potentiellement aux pirates de voler des cartes de crédit et des informations sur les clients lors du paiement.

Segway est le fabricant des emblématiques transporteurs personnels auto-équilibrés à deux roues et d’une gamme d’autres types d’appareils de transport humain.

Ces véhicules personnels sont généralement utilisés par le personnel de sécurité dans les patrouilles, les touristes lors de visites de la ville, les golfeurs, dans diverses applications logistiques et pour les promenades de loisirs à courte distance.

Les favicons malveillants chargent des scripts malveillants

Les attaques MageCart se produisent lorsque des acteurs malveillants compromettent un site pour introduire des scripts malveillants qui volent des informations sur les cartes de crédit et les clients lorsque les gens effectuent un achat.

Cependant, les logiciels de sécurité se sont améliorés au cours des dernières années pour détecter ces scripts malveillants, obligeant les acteurs de la menace à développer de meilleures façons de les cacher.

L’une de ces méthodes consiste à intégrer l’écumoire de carte de crédit malveillante dans des fichiers favicon normalement inoffensifs, des fichiers image utilisés pour afficher une petite icône (généralement le logo du site) dans l’onglet d’une page Web.

Selon un rapport de Laboratoires Malwarebytes, les acteurs de la menace ont ajouté JavaScript à la boutique en ligne de Segway (store.segway.com) qui prétendait afficher les droits d’auteur du site. En réalité, le script chargeait un favicon externe contenant le script malveillant de vol de carte de crédit.

L'URL externe utilisée pour charger la ressource distante
L’URL externe utilisée pour charger le favicon malveillant
Source : Malwarebytes

Bien que ce fichier favicon malveillant contienne une image et soit correctement affiché par le navigateur, il incluait également le script d’écumeur de carte de crédit utilisé pour voler les informations de paiement. Cependant, ce script ne sera pas visible à moins que vous ne l’analysiez à l’aide d’un éditeur hexadécimal, comme indiqué ci-dessous.

Fonction de chargement du skimmer intégrée dans le favicon
Fonction de chargement du skimmer intégrée dans le favicon
Source : Malwarebytes

Cette technique a été bien documentée et utilisée par des groupes habiles de Magecart depuis 2020 pour compromettre les sites Web de Claire’s, Tupperware, Smith & Wesson, Macy’s et British Airways.

Magecart Groupe 12

Malwarebytes affirme que les attaquants responsables de la compromission font partie du groupe Magecart Group 12, un collectif à motivation financière qui vole les détails des cartes de crédit depuis au moins 2019.

Les chercheurs affirment que le code malveillant est actif sur le site Web de Segway depuis au moins le 6 janvier 2021 et qu’ils ont contacté l’entreprise pour l’informer de l’attaque.

EZpublish-france.fr a confirmé qu’au moment d’écrire ces lignes, le code malveillant est toujours présent sur le site et est bloqué par de nombreux produits de sécurité.

ESET bloque l'accès à la boutique en ligne de Segway
ESET bloque l’accès à la boutique en ligne de Segway

Les analystes de Malwarebytes estiment que les acteurs de Magecart ont exploité une vulnérabilité dans le CMS Magento utilisé par la boutique ou dans l’un de ses plugins pour injecter leur code malveillant.

Les données de télémétrie montrent que la plupart des clients du magasin Segway viennent des États-Unis (55%), tandis que l’Australie suit à la deuxième place avec un pourcentage significatif de 39%.

EZpublish-france.fr a contacté Segway pour en savoir plus sur cette attaque mais n’a pas reçu de réponse pour le moment.

Comment rester en sécurité

Le compromis du magasin Segway est un autre exemple de la façon dont les acteurs de la menace peuvent cibler même les sites de marques renommées avec une longue histoire de fiabilité.

Les consommateurs devraient payer avec des méthodes électroniques, des cartes uniques, des cartes avec des limites de facturation strictes, ou simplement choisir le paiement à la livraison si possible pour éviter ces types d’attaques.

De plus, l’utilisation d’un outil de sécurité Internet qui détecte et empêche le chargement de JavaScript malveillant sur les pages de paiement peut vous éviter de vous faire voler les détails de votre carte de crédit.