Notes de terrain du SOC - 2- Magecarting hante encore aujourd'hui les commerces en ligne

Que sont les attaques Magecart ?

Les attaques Magecart sont des attaques cybernétiques qui ciblent principalement les boutiques en ligne dans le but d'exfiltrer des données sensibles. Ces attaques, souvent qualifiées de Formjacking ou Web Skimming, visent à dérober des informations sensibles que les utilisateurs saisissent par des formulaires en ligne, notamment les données de cartes de crédit. Elles doivent leur nom au groupe de pirates tristement célèbre Magecart, qui a commencé à cibler de grandes marques vers 2015 [1].

L'attaque se déroule généralement en deux phases: 

1. Dans un premier temps, l'attaquant exploite un site web vulnérable, souvent une plateforme de commerce électronique, pour y injecter du code JavaScript malveillant.
2. Dans un second temps, ce code parcourt le contenu de la page à la recherche de données sensibles, telles que les informations de carte bancaire. Les données volées sont ensuite exfiltrées vers un serveur contrôlé par l'attaquant, où elles peuvent être revendues sur le dark web [3].

La détection des attaques Magecart est particulièrement complexe, car il s'agit d'attaques côté client. Le code malveillant, souvent obscurci, est généralement intégré au sein de code légitime, ce qui le rend difficile à repérer. Dans certains cas, le script de l’attaquant n’est même pas présent lors du chargement initial de la page : il est alors récupéré dynamiquement depuis un domaine externe. Ces attaques peuvent ainsi passer inaperçues pendant de longues périodes, causant des dommages importants entre-temps.