Les attaques d’écrémage Web ciblent des centaines de sites Web immobiliers via un service d’hébergement vidéo basé sur le cloud, ont averti les chercheurs.
UN article de blog de l’unité 42, la branche de recherche de Palo Alto Networks, a révélé comment les attaquants utilisent le service pour mener une attaque sur la chaîne d’approvisionnement afin d’injecter des logiciels malveillants d’écrémage de cartes sur les sites victimes.
Les attaques d’écrémage Web se produisent lorsqu’un script malveillant est injecté dans des sites pour voler des informations saisies dans des formulaires Web.
Par exemple, un formulaire de réservation en ligne peut demander les informations personnelles et les informations de paiement d’un utilisateur du site Web. Si ce site était vulnérable aux attaques de skimming, les acteurs malveillants pourraient intercepter les données.
Le billet de blog de l’Unité 42 se lit comme suit : « Récemment, nous avons découvert une attaque de la chaîne d’approvisionnement exploitant une plate-forme vidéo en nuage pour distribuer des campagnes de skimmer (ou « formjacking »).
« Dans le cas des attaques décrites ici, l’attaquant a injecté les codes JavaScript du skimmer dans la vidéo, de sorte que chaque fois que d’autres importent la vidéo, leurs sites Web sont également intégrés aux codes du skimmer. »
TU POURRAIS AIMER Le détaillant américain PulseTV met en garde contre une violation apparente des données de carte de crédit
Les chercheurs ont détaillé comment l’écumeur a infecté les sites Web, expliquant que lorsque l’utilisateur de la plate-forme cloud crée un lecteur vidéo, l’utilisateur est autorisé à ajouter ses propres personnalisations JavaScript en téléchargeant un fichier .js à inclure dans son lecteur.
Dans ce cas précis, l’utilisateur a téléchargé un script qui pouvait être modifié en amont pour inclure du contenu malveillant.
Le message se lit comme suit : « Nous en déduisons que l’attaquant a modifié le script statique à son emplacement hébergé en attachant du code de skimmer. Lors de la prochaine mise à jour du lecteur, la plate-forme vidéo a réingéré le fichier compromis et l’a diffusé avec le lecteur concerné.
« D’après l’analyse du code, nous savons que l’extrait de skimmer essaie de recueillir des informations sensibles sur les victimes telles que les noms, les e-mails, les numéros de téléphone, et de les envoyer à un serveur de collecte, https://cdn-imgcloud[.]com/img, qui est également marqué comme malveillant dans VirusTotal.
Fermer la porte dérobée
Les sites Web en question appartenaient tous à la même société mère, qui n’a pas été nommée.
Les chercheurs de l’unité 42 ont déclaré avoir informé l’organisation et l’avoir aidé à supprimer le logiciel malveillant.
Le billet de blog contient plus d’informations techniques sur le fonctionnement de l’écumoire.
Trevor Morgan, chef de produit chez comforte AG, a commenté : « Alors que ces types d’attaques continuent d’évoluer en termes de sophistication et d’intelligence, les entreprises doivent rester concentrées sur l’essentiel : développer une stratégie défensive incorporant plus qu’une simple sécurité basée sur le périmètre, ne pas supposent que les services basés sur le cloud sont intrinsèquement sûrs sans une diligence raisonnable appropriée, et accordent la priorité aux méthodes de sécurité émergentes centrées sur les données telles que la tokenisation et le chiffrement préservant le format, qui peuvent appliquer des protections directement aux données sensibles recherchées par les acteurs de la menace.
« La tokenisation des données dès qu’elles entrent dans les flux de travail de votre entreprise signifie que les applications métier et les utilisateurs peuvent continuer à travailler avec ces informations dans un état protégé, mais plus important encore si les mauvaises personnes s’en emparent, soit par inadvertance, soit par le biais d’attaques coordonnées comme celle-ci. , les informations sensibles restent masquées afin que les acteurs de la menace ne puissent pas les exploiter à des fins lucratives. »
CONSEILLÉ Derniers outils de piratage Web – Q1 2022