Sur les sites Web immobiliers, les acteurs de la menace ont récemment placé un script malveillant qui vole des données sensibles, qui sont saisies par l’utilisateur sur le site Web ciblé.

Ici, dans cet événement, les pirates ont ciblé les cyberattaques sur les chaînes d’approvisionnement, et pour ce faire, ils ont utilisé un service d’hébergement vidéo basé sur le cloud.

Une unité de recherche de Palo Alto Networks, l’unité 42, a signalé que des pirates insinuaient du code JavaScript malveillant dans les vidéos. Et à ce stade, lorsque la vidéo est importée sur d’autres sites dans lesquels les codes du skimmer sont intégrés.

De plus, les pirates ont compromis plus de 100 sites Web immobiliers dans cette campagne malveillante qui montre clairement qu’il s’agit d’une attaque réussie de la chaîne d’approvisionnement.

Infecter plusieurs en piratant une fois
En dehors de cela, les attaques Skimmer sont également connues sous le nom de formjacking, et dans ces cyberattaques, les pirates injectent du JavaScript malveillant dans un site Web cible. Ici, ils ciblent les pages de paiement ou de paiement sur les portails d’achat et de commerce électronique pour voler des données utilisateur sensibles telles que : –

-Informations sur la carte de débit
-Informations sur la carte de crédit
-E-mail
-Adresse physique
-Date de naissance
CC CVV
-DC CVV
-Nom
-Numéro de téléphone
Les sites Web en question appartiennent à la même société mère et les experts de l’Unité 42 n’ont pas divulgué le nom de la société. Ce qu’ils ont fait, c’est qu’ils ont aidé l’entreprise à supprimer le logiciel malveillant.

Pour inclure un script de skimmer malveillant, les pirates ont modifié le fichier JavaScript en amont et y ont eu accès. Maintenant, une fois cela fait, le lecteur vidéo commence à diffuser un script malveillant puisque les pirates conservent la prochaine mise à jour du lecteur chargée avec un script malveillant.

Le site Web immobilier sur lequel le lecteur est intégré reçoit le script malveillant par lequel les acteurs de la menace volent toutes les entrées utilisateur sensibles effectuées par les utilisateurs dans les formulaires du site Web.

Processus opérationnel
Ici, nous avons simplifié le processus opérationnel de celui-ci en quelques étapes simples, et ici nous avons mentionné ci-dessous : –

Tout d’abord, il vérifie si le chargement de la page Web est terminé ou non.
Ensuite, il appelle la fonction suivante.
Après cela, à partir du document HTML, il lit et vole toutes les entrées de l’utilisateur.
Une fois l’étape ci-dessus terminée, il appelle maintenant une fonction de validation des données avant de l’enregistrer.
Enfin, en créant une balise HTML et en remplissant la source de l’image avec l’URL du serveur, toutes les données volées collectées sont envoyées au C2 (https://cdn-imgcloud[.]com/img).

Ainsi, les experts ont fortement recommandé aux administrateurs de sites Web de ne pas faire confiance aveuglément à tous les scripts JavaScript intégrés à leurs sites.

Alors que ce qu’ils ont conseillé aux administrateurs de suivre, c’est d’effectuer régulièrement des vérifications de l’intégrité du contenu Web et, parallèlement à cela, d’utiliser des solutions de détection de détournement de formulaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *