Des pirates informatiques ciblent des sites Web immobiliers avec un skimmer dans la dernière attaque de la chaîne d’approvisionnement


Les acteurs de la menace ont utilisé un service d’hébergement vidéo basé sur le cloud pour effectuer une attaque de chaîne d’approvisionnement sur plus de 100 sites Web immobiliers exploités par Sotheby’s Realty qui impliquait l’injection de skimmers malveillants pour voler des informations personnelles sensibles.

“D’autres importent des vidéos, même leurs sites Web sont intégrés avec des codes de skimmer”, ont déclaré des chercheurs de l’unité 42 de Palo Alto Networks dans un rapport publié cette semaine.

Les attaques par skimmer, également appelées formjacking, sont liées à un type de cyberattaque dans lequel des acteurs malveillants insèrent du code JavaScript malveillant dans le site Web cible, le plus souvent sur des pages de paiement ou de paiement sur des portails d’achat et de commerce électronique, pour récolter des informations précieuses telles que la carte de crédit. détails saisis par les utilisateurs.

Dans la dernière incarnation des attaques Magecart, les opérateurs à l’origine de la campagne ont piraté le compte Brightcove de Sotheby’s et déployé un code malveillant dans le lecteur de la plate-forme vidéo cloud en forgeant un script qui peut être chargé pour ajouter des personnalisations JavaScript au lecteur vidéo.

“L’attaquant a modifié le script statique dans son emplacement hébergé en attachant le code du skimmer. Lors de la prochaine mise à jour du lecteur, la plate-forme vidéo a réingéré le fichier compromis et l’a transmis au lecteur concerné.” ont déclaré les chercheurs, ajoutant qu’il avait travaillé avec le service vidéo et la société immobilière pour aider à supprimer le logiciel malveillant.

La campagne aurait commencé dès janvier 2021, selon MalwareBytes, avec les informations récoltées – noms, e-mails, numéros de téléphone, données de carte de crédit – exfiltrées vers un serveur distant “cdn-imgcloud[.]com” qui a également fonctionné comme domaine de collecte pour une attaque Magecart ciblant Amazon CloudFront CDN en juin 2019.

Pour détecter et empêcher l’injection de code malveillant dans les sites en ligne, il est recommandé d’effectuer des vérifications périodiques de l’intégrité du contenu Web, en n’oubliant pas de protéger les comptes contre les tentatives de prise de contrôle et de prêter attention aux schémas d’ingénierie sociale potentiels.

“Le skimmer lui-même est hautement polymorphe, insaisissable et en constante évolution”, ont déclaré les chercheurs. « Lorsqu’il est combiné avec des plateformes de distribution cloud, l’impact d’un tel skimmer pourrait être très important.





Source link