Cartes bancaires : Newegg vient allonger la liste des victimes de Magecart

RiskIQ avait prévenu : British Airways n’était qu’une victime, parmi de nombreuses autres, de Magecart, cette nébuleuse de groupes de cybercriminels qui s’en prend aux sites animés par Magento pour dérober des détails de cartes bancaires. Et cela commençait par ceux utilisant les services de Feedify. Mais cela ne s’arrêtait pas là.

Yonathan Klijnsma, analyste chez RiskIQ, vient ainsi de révéler que Newegg a également été touché, entre le 14 août et le 18 septembre. Une période de près d’un mois, donc, pour un site de commerce en ligne dont le trafic est estimé à plus de 50 millions de visiteurs par mois.

Peu utilisé en France, Newegg compte parmi les 200 sites Web les plus populaires outre-Atlantique. Son chiffre d’affaires, en 2016, était de l’ordre de 2,6 Md$. Sur son fil Twitter, le commerçant a confirmé l’incident. Il indique aujourd’hui enquêter pour « déterminer exactement quelles informations ont été obtenues » et « envoyer des e-mails aux clients potentiellement affectés ».

Dans un billet de blog, Yonathan Klijnsma souligne la ressemblance entre le code utilisé contre les clients de British Airways et ceux de Newegg. Et de préciser au passage que les attaquants ont procédé de manière comparable : en s’appuyant sur un nom de domaine proche de celui du commerçant – neweggstats.com – et sur un certificat numérique dûment acheté auprès de Comodo pour renforcer sa légitimité apparente.

Dans le cadre de son enquête, Newegg devra déterminer le point d’entrée des attaquants. Et certains l’ont peut-être déjà aidé en cela : le commerçant semble exposer de nombreux services sur Internet, bien au-delà de son seul site Web, dont SMB, RDP, ou encore Telnet. Sans compter un serveur Microsoft IIS apparemment affecté par des vulnérabilités connues, du moins selon les trouvailles de Dan Tentler, directeur technique de Carbon Dynamics.

oh, newegg got popped too?
let's have a look.

..oh.
yeah.

$5 says it's worse than you think. pic.twitter.com/sF1NGiimye

— D̒͂̕ᵈăᵃn̕ᶰ Ť̾̾̓͐͒͠ᵗe͗̑́̋̂́͡ᵉn̅ᶰtᵗl̀̓͘ᶫe̓̒̂̚ᵉrʳ (@Viss) September 19, 2018

Reste que Yonathan Klijnsma n’est pas rassurant. RiskIQ travaille actuellement à un rapport complet sur Magecart, sur la base de ses renseignements sur les menaces. Mais en attendant, il l’assure : « les détections automatiques de RiskIQ d’instances de brèches Magecart nous sollicitent pratiquement à chaque heure ».

Et attention : si certains groupes se contentent de cibles modestes, celui qui s’est attaqué à Newegg et British Airways « est particulièrement audacieux, réalisant des attaques rusées hautement ciblées avec des skimmers [systèmes de vol de données de cartes bancaires, NDLR] qui s’intègrent de manière transparente aux sites Web de leurs cibles ».