Magento : Flashpoint alerte sur une vaste campagne de détournements

Les analystes de Flashpoint, spécialiste du renseignement sur les menaces, tirent la sonnette d’alarme : selon eux, au moins un millier d’instances de la plateforme de commerce électronique Magento ont été récemment détournées, principalement dans les secteurs de l’éducation et de la santé, aux Etats-Unis et en Europe.

Les analystes Amina Bashir, Paul Burbage et Vitali Kremez indiquent que « les sites Magento sont compromis via des attaques en force brute utilisant des identifiants par défaut connus et courants ». Et de rappeler que ces attaques sont facilitées par des administrateurs qui ne prennent pas la peine de modifier les identifiants lors de l’installation de la plateforme. Dès lors, « les attaquants peuvent construire des scripts simples » pour attaquer les interfaces d’administration de manière automatisée.

Ils expliquent que les attaquants profitent de la compromission pour injecter du code leur permettant d’intercepter les données de cartes bancaires saisies par les visiteurs dans les pages de paiement. Mais pas uniquement. Selon les analystes, les attaquants vont plus loin, présentant aux visiteurs de faux messages d’invitation à la mise à jour de leur lecteur Flash pour leur faire télécharger un exécutable malveillant, lequel installe ensuite un mineur de crypto-deniers. Le tout hébergé sur GitHub, via des comptes qui seraient actifs depuis l’an dernier.

Selon Flashpoint, depuis 2016, l’intérêt des attaquants « pour la plateforme continue d’être élevé », de même que pour d’autres comme Powerfront CMS et OpenCart. Et l’échantillon d’un millier de sites compromis connu de ses analystes n’est « probablement » qu’une partie d’un ensemble plus vaste.

Magento revendique la place de première plateforme de commerce électronique au monde, et assure que sa plateforme génère annuellement un chiffre d’affaires de plus 155 Md$.