Sur des sites de e-commerce compromis, des chercheurs en sécurité appartenant à l'équipe du Payment Fraud Disruption de Visa ont trouvé un skimmer de carte bancaire basé sur JavaScript. Surnommé Pipka, le script malveillant est doté de techniques anti-forensics. Il est même capable de s'autodétruire après exécution de son code sur la page Web du site compromis. Le skimmer a d'abord été trouvé sur le site d'un détaillant nord-américain déjà été infecté par un autre skimmer appelé Inter. Et une enquête plus poussée a permis aux chercheurs de découvrir que 16 autres sites de e-commerce avaient été infectés par Pipka.
Une menace déjà installée
Le skimming, ou écrémage, consiste à voler des données de cartes de bancaire sur des sites de e-commerce après injection de scripts malveillants dans les pages d'un site web. En général, les scripts sont injectés dans les pages de paiement pour siphonner les informations de carte bancaire à mesure qu'elles sont saisies par les acheteurs dans les formulaires en ligne. Ces dernières années, ce genre d'attaque s'est beaucoup développé : ainsi, plus d'une douzaine de groupe utilisent un skimmer bien connu, Magecart.
Mais, même s'ils utilisent le même skimmer, chaque groupe a mis au point des techniques et des méthodes différentes pour injecter son code malveillant dans les sites Web et le rendre indétectable. Certains exploitent des vulnérabilités connues. D'autres compromettent des scripts de tierce partie légitimes chargés sur les sites Web, comme les scripts des services d'analyse Web, et il est prouvé que certains groupes compromettent les routeurs pour configurer des points d'accès WiFi dans les aéroports et autres espaces publics et injecter leur code dans le trafic légitime.
Les chercheurs ont même trouvé la preuve de liens entre certains groupes Magecart et des groupes de cybercriminels très pointus comme Cobalt et FIN6, qui ont toujours ciblé les banques et les gros détaillants. Ce qui incite à penser que le skimming web reste suffisamment rentable, y compris pour des cybercriminels bien établis qui ont déjà volé des centaines de millions de dollars à des organisations du monde entier. Il n'est donc pas surprenant que d'autres skimmers, comme Inter, et aujourd'hui Pipka, commencent à concurrencer Magecart, et que certains d'entre eux soient vendus sur les marchés clandestins. Il y a l'embarras du choix en matière de piratage de sites Web, et les chercheurs pensent que les attaques de skimming vont se poursuivre.
Pourquoi Pipka est différent ?
D'après ce qu'ont constaté les chercheurs du Payment Fraud Disruption de Visa, Pipka est personnalisable. Par exemple, les attaquants peuvent configurer les champs de formulaire dont ils veulent voler les données. Ces données sont stockées dans un cookie sous forme cryptée avant d'être exfiltrées vers un serveur de commande et de contrôle. De plus, le skimmer Pipka peut cibler les pages de paiement en deux étapes et configurer des champs pour les données de facturation et les données de compte. Mais, sa caractéristique la plus intéressante, reste sa capacité à supprimer le code de la page après exécution. « Quand, au chargement du script, le skimmer s'exécute, il appelle la fonction de démarrage qui appelle la fonction de suppression et configure le skimmer pour qu'il recherche des données toutes les secondes », ont expliqué les chercheurs de Visa dans leur avis de sécurité. « La fonction de suppression localise la balise de script du skimmer sur la page et la supprime. Comme cette suppression intervient immédiatement après le chargement du script, il est difficile pour les analystes ou les administrateurs de site Web de repérer le code quand ils analysent la page ».
Si ce type de routine d'autodestruction a déjà été utilisé dans les malwares de machines desktop, c'est la première fois qu'on l'observe dans les skimmers Web. Ce qui, selon les chercheurs de Visa indique « un développement significatif » dans ce type d'attaque. En guise de mesures d'atténuation, les chercheurs de Visa conseillent aux administrateurs d'ajouter des vérifications récurrentes dans leurs environnements de e-commerce pour repérer les communications avec les serveurs de commande et de contrôle connus et utilisés par les skimmers, d'analyser régulièrement leurs sites pour détecter les éventuelles vulnérabilités ou malwares, de vérifier minutieusement leurs réseaux de diffusion de contenu et le code tiers chargé dans leurs sites Web par leurs partenaires, de s'assurer que leurs logiciels et autres services sont à jour et mis à jour, d'utiliser des mots de passe d'administrations forts et de limiter l'accès au portail d'administration, d'envisager l'usage d'une solution externe qui permet aux clients d'entrer leurs coordonnées bancaires sur un site Internet différent du site marchand et non sur leur propre page.