Apple id e password rubati con un server Electronic Arts (EA) compromesso che ospita pagine di phishing

Un rapporto pubblicato da Netcraft afferma che i criminali informatici sono riusciti a hackerare due siti web ospitati su un server di Electronic Arts (EA). E poi hanno proceduto a utilizzare quei due siti web per il phishing degli utenti Apple. L’immagine qui sotto è del sito web che ospita la pagina di phishing.

.

EA o Electronic Arts è un noto sviluppatore e editore di giochi per Video, PC e mobile. EA sviluppa e pubblica giochi sotto diversi marchi, tra cui i titoli EA Sports, Madden NFL, FIFA, NHL, NCAA Football, NBA Live e SSX. Questo rende EA uno dei marchi più fidati a livello mondiale e qualsiasi pagina di EA che richiede le tue credenziali è destinata a indurre l’utente a fornirle senza alcun secondo pensiero.

• *

Questo è esattamente ciò che gli hacker sono riusciti a ottenere.

Netcraft riporta che gli attaccanti hanno hackerato un server che ospita due siti web sul dominio ea.com

.

Il server in questione ospita un calendario basato su WebCalendar 1.2.0. Questa è una versione obsoleta del software (2008), quindi è piena di vulnerabilità che potrebbero essere state sfruttate dagli hacker. Ad esempio, gli attaccanti avrebbero potuto sfruttare CVE-2012-5385, che può essere sfruttato per modificare le impostazioni e possibilmente persino eseguire codice.

• *

“È probabile che una di queste vulnerabilità sia stata utilizzata per compromettere il server, poiché il contenuto di phishing si trova nella stessa directory dell’applicazione WebCalendar,” ha osservato Paul Mutton di Netcraft in un post sul blog.

• *

La pagina di phishing è progettata per imitare la pagina di accesso di My Apple ID. Prima, le vittime sono istruite a inserire il proprio Apple ID e la propria password. Poi, viene chiesto loro di fornire il proprio nome, numero di carta di pagamento, data di scadenza, CVV, data di nascita e altre informazioni personali.

• *

Una volta che le informazioni vengono fornite ai criminali informatici, le vittime vengono reindirizzate al sito web genuino di Apple, molto probabilmente nel tentativo di evitare di sollevare sospetti.

• *

“Il server compromesso è ospitato all’interno della rete di EA. I server compromessi visibili su Internet vengono spesso utilizzati come ‘pietre di passaggio’ per attaccare server interni e accedere a dati che altrimenti sarebbero invisibili su Internet, anche se non ci sono evidenze evidenti che suggeriscano che ciò sia accaduto,” ha spiegato Mutton.

• *

“In questo caso, l’hacker è riuscito a installare ed eseguire script PHP arbitrari sul server EA, quindi è probabile che possa almeno anche visualizzare i contenuti del calendario e parte del codice sorgente e altri dati presenti sul server,” ha aggiunto.

• *

“La semplice presenza di software obsoleto può spesso fornire un incentivo sufficiente per un hacker per prendere di mira un sistema piuttosto che un altro e per trascorrere più tempo a cercare vulnerabilità aggiuntive o cercare di sondare più a fondo nella rete interna.”

• *