🔍 Contexte

Le 7 avril 2026, l’Ă©quipe Sansec Forensics a publiĂ© une analyse technique dĂ©taillant une campagne Magecart de masse ayant compromis 99 boutiques Magento en quelques heures. L’article, publiĂ© sur sansec.io, dĂ©crit un skimmer de carte bancaire sophistiquĂ© exploitant une technique d’injection inĂ©dite via des Ă©lĂ©ments SVG.

🎯 Vecteur d’entrĂ©e et mĂ©thode d’injection

Le vecteur d’entrĂ©e probable est la vulnĂ©rabilitĂ© PolyShell (upload de fichier non restreint dans Magento/Adobe Commerce), qui continue d’affecter les boutiques non protĂ©gĂ©es. L’attaquant injecte un Ă©lĂ©ment SVG de 1x1 pixel dans le HTML de la boutique, dont le gestionnaire onload contient l’intĂ©gralitĂ© du payload skimmer encodĂ© en base64 via atob() et exĂ©cutĂ© via setTimeout. Cette technique Ă©vite toute rĂ©fĂ©rence Ă  un script externe, contournant ainsi les scanners de sĂ©curitĂ© classiques.

💳 Fonctionnement du skimmer (“double-tap”)

Lorsqu’un acheteur clique sur un bouton de paiement, le skimmer :

  • Intercepte le clic via useCapture
  • Affiche un overlay plein Ă©cran imitant une page “Secure Checkout” avec icĂŽne de cadenas
  • Collecte les donnĂ©es de carte (avec validation Luhn en temps rĂ©el) et les informations de facturation
  • Redirige silencieusement vers la vraie page de paiement aprĂšs capture

đŸ“€ Exfiltration des donnĂ©es

Les donnĂ©es collectĂ©es sont encodĂ©es par XOR avec la clĂ© "script" puis en base64, avant d’ĂȘtre envoyĂ©es via fetch() POST en mode no-cors (avec fallback iframe cachĂ©) vers l’endpoint /fb_metrics.php sur six domaines, dĂ©guisĂ© en tracker Facebook Analytics. AprĂšs exfiltration, le skimmer pose un marqueur localStorage._mgx_cv = '1' pour Ă©viter une double capture.

🌐 Infrastructure

Les six domaines d’exfiltration rĂ©solvent tous vers l’IP 23.137.249.67, hĂ©bergĂ©e chez IncogNet LLC (AS40663) aux Pays-Bas :

Domaine Victimes confirmées
statistics-for-you.com 15
statistics-renew.com 14
morningflexpleasure.com 14
reusable-flex.com 12
goingfatter.com 11
wellfacing.com 10

📄 Nature de l’article

Il s’agit d’une analyse technique publiĂ©e par Sansec, visant Ă  documenter la campagne, exposer les indicateurs de compromission et les mĂ©canismes techniques du skimmer pour permettre la dĂ©tection et la rĂ©ponse Ă  incident.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)

IOC

  • IPv4 : 23.137.249.67 — AbuseIPDB · VT · ThreatFox
  • Domaines : statistics-for-you.com — VT · URLhaus · ThreatFox
  • Domaines : statistics-renew.com — VT · URLhaus · ThreatFox
  • Domaines : morningflexpleasure.com — VT · URLhaus · ThreatFox
  • Domaines : reusable-flex.com — VT · URLhaus · ThreatFox
  • Domaines : goingfatter.com — VT · URLhaus · ThreatFox
  • Domaines : wellfacing.com — VT · URLhaus · ThreatFox
  • URLs : http://statistics-for-you.com/fb_metrics.php — URLhaus
  • URLs : http://statistics-renew.com/fb_metrics.php — URLhaus
  • URLs : http://morningflexpleasure.com/fb_metrics.php — URLhaus
  • URLs : http://reusable-flex.com/fb_metrics.php — URLhaus
  • URLs : http://goingfatter.com/fb_metrics.php — URLhaus
  • URLs : http://wellfacing.com/fb_metrics.php — URLhaus
  • Fichiers : fb_metrics.php

Malware / Outils

  • Magecart SVG onload skimmer (stealer)

🟱 Indice de vĂ©rification factuelle : 65/100 (haute)

  • ⬜ sansec.io — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 4895 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 14 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/7 IOCs confirmĂ©s (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 7 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • statistics-for-you.com (domain) → VT (18/94 dĂ©tections)
  • statistics-renew.com (domain) → VT (16/94 dĂ©tections)
  • morningflexpleasure.com (domain) → VT (15/94 dĂ©tections)

🔗 Source originale : https://sansec.io/research/svg-onload-magecart-skimmer