Identifiants Apple et mots de passe volés avec un serveur Electronic Arts (EA) piraté hébergeant des pages de phishing

Un rapport publié par Netcraft indique que des cybercriminels ont réussi à pirater deux sites web hébergés sur un serveur d’Electronic Arts (EA). Et ensuite, ils ont utilisé ces deux sites pour du phishing ciblant les utilisateurs d’Apple. L’image ci-dessous montre le site hébergeant la page de phishing.

.

EA ou Electronic Arts est un développeur et éditeur de jeux vidéo, PC et mobiles de renommée mondiale. EA développe et publie des jeux sous plusieurs labels, y compris les titres EA Sports, Madden NFL, FIFA, NHL, NCAA Football, NBA Live et SSX. Cela fait d’EA l’une des marques de confiance dans le monde entier et toute page d’EA demandant vos identifiants est susceptible de pousser l’utilisateur à les fournir sans réfléchir.

• *

Voilà exactement ce que les hackers ont réussi à accomplir.

Netcraft rapporte que les attaquants ont piraté un serveur qui héberge deux sites web sur le domaine ea.com

.

Le serveur en question héberge un calendrier basé sur WebCalendar 1.2.0. Il s’agit d’une ancienne version du logiciel (2008), donc elle est pleine de vulnérabilités qui auraient pu être exploitées par les hackers. Par exemple, les attaquants auraient pu tirer parti de CVE-2012-5385, qui peut être exploité pour modifier des paramètres et éventuellement exécuter du code.

• *

“Il est probable qu’une de ces vulnérabilités ait été utilisée pour compromettre le serveur, car le contenu de phishing se trouve dans le même répertoire que l’application WebCalendar,” a noté Paul Mutton de Netcraft dans un article de blog.

• *

La page de phishing est conçue pour imiter la page de connexion de Mon identifiant Apple. Tout d’abord, les victimes sont invitées à entrer leur identifiant Apple et leur mot de passe. Ensuite, on leur demande de fournir leur nom, numéro de carte de paiement, date d’expiration, CVV, date de naissance et d’autres informations personnelles.

• *

Une fois les informations fournies aux cybercriminels, les victimes sont redirigées vers le véritable site d’Apple, probablement dans le but d’éviter de susciter des soupçons.

• *

“Le serveur compromis est hébergé au sein du propre réseau d’EA. Les serveurs visibles sur Internet compromis sont souvent utilisés comme des ‘tremplins’ pour attaquer des serveurs internes et accéder à des données qui seraient autrement invisibles sur Internet, bien qu’il n’y ait pas de preuves évidentes suggérant que cela se soit produit,” a expliqué Mutton.

• *

“Dans ce cas, le hacker a réussi à installer et exécuter des scripts PHP arbitraires sur le serveur EA, donc il est probable qu’il puisse au moins également voir le contenu du calendrier et une partie du code source et d’autres données présentes sur le serveur,” a-t-il ajouté.

• *

“La simple présence de logiciels anciens peut souvent fournir une incitation suffisante pour qu’un hacker cible un système plutôt qu’un autre, et pour passer plus de temps à chercher des vulnérabilités supplémentaires ou à essayer de sonder plus profondément dans le réseau interne.”

• *