piratage site Web

Magento – Le malware Visbot attaque 7000 site d’e-commerce !

 Magento est le troisième CMS piraté après WordPress et Joomla.

Magento AGS Technologies 825x510 - Magento - Le malware Visbot attaque 7000 site d'e-commerce !

Ces derniers temps, les magasins en ligne qui exploitent la plate-forme Magento ont dû faire face à une menace nouvelle et améliorée – les logiciels malveillants Visbot. Le premier cas documenté de Visbot remonte à mars

2015. Et maintenant, environ 7000 magasins Magento dans le monde entier ont été identifiés comme étant le fonctionnement du logiciel malveillant. Contrairement à la plupart des logiciels malveillants de Magento qui

recueille des données de carte de crédit, Visbot ne fonctionne pas sur le frontend du site. Cela ne fonctionne  qu’avec le code côté serveur, ne s’exposant jamais.

Comment Visbot vole des données

Le logiciel malveillant attend que les utilisateurs présentent des données de carte de crédit et l’intercepte sur le serveur. Visbot prend ces données et la crypte avec une clé publique de cryptage, codée en dur dans le code source

du malware. Ces données chiffrées sont stockées dans un fichier image, en utilisant la stéganographie, qui masque les données textuelles à l’intérieur des fichiers image. Visbot quitte cette image dans l’un des dossiers publics

du site, et l’auteur de logiciels malveillants la récupère à intervalles réguliers. Si les sites utilisent des pare-feu, tout ce qu’ils voient est un utilisateur qui télécharge une image, quelque chose qui se passe tout le temps sur les

magasins de commerce électronique.

Voici quelques noms de fichiers où Visbot masque habituellement les informations de carte de crédit volées.

Magento attack - Visbot malware file names

 

 

L’auteur de Visbot détient une clé de cryptage privée qui, en combinaison avec la clé publique, peut décrypter les données, ce qui signifie qu’aucun autre escroc ne peut télécharger les images extraire les détails de la carte de

crédit et voler les données.

Comment savoir si mon site est infecté ?

Pour que le créateur de Visbot puisse suivre les sites qu’il a infectés et voir s’ils sont encore infectés, il utilise un agent utilisateur spécial.

Les autres webmasters peuvent vérifier si leurs sites sont infectés par Visbot en exécutant la commande SSH suivante :

grep -r Visbot --include='*.php' /my/document/root

C’est le chemin où se trouve le fichier infecté:

 

MageReport est un site Web qui fournit des audits de sécurité pour les sites Magento. Les propriétaires de magasins peuven

Magento attack - Visbot malware file locationt l’utiliser pour détecter si leur magasin est infecté par Visbot. Et voici comment appartient le code

source de Maleware. Pour rester sur le bon côté, conservez vos correctifs Magento et utilisez toujours des mots de passe forts.

 

Traduction et adaptation de l’article publié par Anisha Sawant sur le site kodework ( version original en anglais)

Categories: piratage site Web

Tagged as:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *