Les sites de commerce électronique utilisant le logiciel Magento 2 d’Adobe sont la cible d’une campagne en cours active depuis au moins janvier 2023.
Les attentats, surnommés Xurum par Akamai, exploitent une faille de sécurité critique désormais corrigée (CVE-2022-24086, score CVSS : 9,8) dans Adobe Commerce et Magento Open Source qui, si elle est exploitée avec succès, pourrait conduire à l’exécution de code arbitraire.
« L’attaquant semble être intéressé par les statistiques de paiement des commandes passées dans la boutique Magento de la victime au cours des 10 derniers jours », ont déclaré des chercheurs d’Akamai dans une analyse publiée la semaine dernière, attribuant la campagne à des acteurs d’origine russe.
Il a également été observé que certains sites Web étaient infectés par de simples skimmers basés sur JavaScript, conçus pour collecter des informations de carte de crédit et les transmettre à un serveur distant. L’ampleur exacte de la campagne reste incertaine.
Dans les chaînes d’attaque observées par l’entreprise, CVE-2022-24086 est armé pour l’accès initial, exploitant ensuite le pied pour exécuter un code PHP malveillant qui recueille des informations sur l’hôte et supprime un shell Web nommé wso-ng qui se fait passer pour Google Shopping. Composant d’annonces.
Non seulement la porte dérobée du shell Web s’exécute en mémoire, mais elle n’est également activée que lorsque l’attaquant envoie le cookie « magemojo000 » dans la requête HTTP, après quoi les informations sur les méthodes de paiement des commandes client au cours des 10 derniers jours sont consultées et exfiltrées.
Les attaques culminent avec la création d’un utilisateur administrateur voyou avec le nom « mageworx » (ou « mageplaza ») dans ce qui semble être une tentative délibérée de camoufler leurs actions comme bénignes, car les deux surnoms font référence aux magasins d’extension populaires Magento 2.
wso-ng serait une évolution du shell Web WSO, incorporant une nouvelle page de connexion cachée pour voler les informations d’identification saisies par les victimes. Il s’intègre en outre à des outils légitimes tels que VirusTotal et SecurityTrails pour glaner la réputation IP de la machine infectée et obtenir des détails sur d’autres domaines hébergés sur le même serveur.
Les sites de vente en ligne sont ciblés depuis des années par une classe d’attaques connue sous le nom de Magecart dans laquelle un code de skimmer est inséré dans les pages de paiement dans le but de récolter les données de paiement saisies par les victimes.
« Les attaquants ont fait preuve d’une approche méticuleuse, ciblant des instances spécifiques de Magento 2 plutôt que de diffuser sans discernement leurs exploits sur Internet », ont déclaré les chercheurs.
« Ils font preuve d’un haut niveau d’expertise dans Magento et investissent un temps considérable dans la compréhension de ses composants internes, la mise en place d’une infrastructure d’attaque et le test de leurs exploits sur des cibles réelles. »
