Cette technique est l’une des trois variantes observées par les chercheurs d’Akamai Security Intelligence Group, les deux autres dissimulant le code dans l’attribut "onerror" de la balise d’image HTML et dans un binaire d’image pour le faire apparaître comme l’extrait de code Meta Pixel.

Tous les sites web comportent des pages d’erreur 404 qui s’affichent aux visiteurs lorsqu’ils accèdent sur une page web qui n’existe pas, qui a été déplacée ou dont le lien est mort ou brisé. Les acteurs de Magecart utilisent ces pages pour cacher et charger le code malveillant de vol de cartes, ce qui n’avait pas été vu auparavant dans les campagnes précédentes.

Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :

« La collecte en masse de cartes bancaires peut être extrêmement lucrative, c’est pourquoi les cybercriminels se donnent beaucoup de mal pour réaliser des opérations d’envergure, sophistiquées et discrètes. Une fois l’opération en cours, il peut s’écouler des mois avant que le pot aux roses ne soit découvert. Comme ce fut le cas dans le cas des attaques précédentes contre British Airways et Ticketmaster, durant lesquelles, les clients avaient innocemment transmis leurs données financières. Dans le cas présent, notons que l’utilisation de pages 404 est un moyen simple et créatif de piéger les visiteurs.

Outre l’accès initial au système d’information, il est primordial pour les attaquants d’être le plus furtif possible. Plus ils restent introduits dans les systèmes, plus ils collectent de données bancaires, et plus l’alerte est donnée tardivement. »