Des chercheurs découvrent une nouvelle campagne Web Skimmer ciblant plus de 100 sites

  • FrançaisFrançais



  • Les attaques de la chaîne d’approvisionnement peuvent dévaster les infrastructures critiques des organisations, car un seul maillon faible peut permettre aux acteurs malveillants de victimiser l’ensemble du réseau. Récemment, des experts en sécurité d’Unit42 ont découvert une attaque de la chaîne d’approvisionnement utilisant une plate-forme vidéo en nuage pour diffuser un écumeur de détournement de formulaire. Les chercheurs affirment avoir détecté plus de 100 sites immobiliers compromis par la même attaque de skimmer.

    Dans les attaques de détournement de formulaire, les pirates injectent du code JavaScript malveillant dans le site Web de la victime pour compromettre et voler des informations sensibles. Le code malveillant déployé modifie le comportement du site Web ciblé à l’insu de l’utilisateur.

    Les chercheurs ont déclaré que l’écumeur avait collecté les informations sensibles des victimes telles que les noms, les e-mails, les numéros de téléphone et les avait envoyées à un serveur de collecte – https://cdn-imgcloud[.]com/img, qui est également malveillant.

    Lisez aussi: Les utilisateurs indiens sont les troisièmes les plus touchés par les attaques de détournement de formulaire

    « Le skimmer lui-même est hautement polymorphe, insaisissable et en constante évolution. Combiné à des plateformes de distribution cloud, l’impact d’un skimmer de ce type pourrait être très important. Pour ces raisons, des attaques comme celle-ci augmentent les enjeux pour les chercheurs en sécurité de démêler leurs stratégies sophistiquées et de les remonter à la cause première. Nous devons inventer des stratégies plus sophistiquées pour détecter les campagnes de skimmer de ce type car le simple blocage des noms de domaine ou des URL utilisés par les skimmers est inefficace », ont déclaré les chercheurs.

    Les pirates informatiques déploient du code malveillant dans une vidéo

    Les chercheurs d’Unit42 ont déclaré que les attaquants avaient injecté les codes du skimmer dans le lecteur de la plate-forme vidéo en nuage. Il se télécharge automatiquement chaque fois qu’un utilisateur importe la vidéo contenant des codes malveillants. Expliquant comment les pirates ont injecté le skimmer dans la vidéo, les chercheurs ont ajouté : « Lorsque l’utilisateur de la plate-forme cloud crée un lecteur, l’utilisateur est autorisé à ajouter ses propres personnalisations JavaScript en téléchargeant un fichier JavaScript à inclure dans son lecteur. Dans ce cas précis, l’utilisateur a téléchargé un script qui pourrait être modifié en amont pour inclure du contenu malveillant. Nous en déduisons que l’attaquant a modifié le script statique à son emplacement hébergé en attachant le code du skimmer. Lors de la prochaine mise à jour du lecteur, la plate-forme vidéo a réingéré le fichier compromis et l’a servi avec le lecteur concerné.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.