IDs de Apple y contraseñas robadas con un servidor de Electronic Arts (EA) hackeado que aloja páginas de phishing

Un informe publicado por Netcraft dice que los criminales cibernéticos han logrado hackear dos sitios web alojados en un servidor de Electronic Arts (EA). Y luego procedieron a usar esos dos sitios web para phishing a usuarios de Apple. La imagen a continuación es del sitio web que aloja la página de phishing.

.

EA o Electronic Arts es un desarrollador y editor de juegos de renombre mundial de videojuegos, PC y juegos móviles. EA desarrolla y publica juegos bajo varias etiquetas, incluyendo títulos de EA Sports, Madden NFL, FIFA, NHL, NCAA Football, NBA Live y SSX. Esto convierte a EA en una de las marcas de confianza a nivel mundial y cualquier página de EA que pida tus credenciales seguramente llevará al usuario a darlas sin pensarlo dos veces.

• *

Esto es exactamente lo que los hackers han logrado conseguir.

Netcraft informa que los atacantes han hackeado un servidor que aloja dos sitios web en el dominio ea.com

.

El servidor en cuestión aloja un calendario basado en WebCalendar 1.2.0. Esta es una versión antigua del software (2008), por lo que está llena de vulnerabilidades que podrían haber sido explotadas por los hackers. Por ejemplo, los atacantes podrían haber aprovechado CVE-2012-5385, que puede ser explotado para modificar configuraciones y posiblemente incluso ejecutar código.

• *

“Es probable que una de estas vulnerabilidades se haya utilizado para comprometer el servidor, ya que el contenido de phishing se encuentra en el mismo directorio que la aplicación WebCalendar,” señaló Paul Mutton de Netcraft en una publicación de blog.

• *

La página de phishing está diseñada para imitar la página de inicio de sesión de Mi ID de Apple. Primero, se instruye a las víctimas a ingresar su ID de Apple y su contraseña. Luego, se les pide que entreguen su nombre, número de tarjeta de pago, fecha de vencimiento, CVV, fecha de nacimiento y otra información personal.

• *

Una vez que la información es proporcionada a los criminales cibernéticos, las víctimas son redirigidas al sitio web genuino de Apple, probablemente en un esfuerzo por evitar levantar sospechas.

• *

“El servidor comprometido está alojado dentro de la propia red de EA. Los servidores visibles en internet comprometidos a menudo se utilizan como ‘piedras de paso’ para atacar servidores internos y acceder a datos que de otro modo serían invisibles para internet, aunque no hay evidencia obvia que sugiera que esto ha sucedido,” explicó Mutton.

• *

“En este caso, el hacker ha logrado instalar y ejecutar scripts PHP arbitrarios en el servidor de EA, por lo que es probable que también pueda al menos ver el contenido del calendario y parte del código fuente y otros datos presentes en el servidor,” añadió.

• *

“La mera presencia de software antiguo puede a menudo proporcionar un incentivo suficiente para que un hacker apunte a un sistema sobre otro, y para pasar más tiempo buscando vulnerabilidades adicionales o tratando de profundizar en la red interna.”

• *