해킹된 일렉트로닉 아츠(EA) 서버에서 도난당한 Apple ID와 비밀번호

Netcraft에서 발표한 보고서에 따르면 사이버 범죄자들이 일렉트로닉 아츠(EA) 서버에 호스팅된 두 개의 웹사이트를 해킹하는 데 성공했습니다. 그리고 그들은 이 두 웹사이트를 사용하여 Apple 사용자를 피싱했습니다. 아래 이미지는 피싱 페이지를 호스팅하는 웹사이트의 모습입니다.

.

EA 또는 일렉트로닉 아츠는 비디오, PC 및 모바일 게임의 세계적인 게임 개발자이자 퍼블리셔입니다. EA는 EA 스포츠 타이틀, 매든 NFL, FIFA, NHL, NCAA 풋볼, NBA 라이브 및 SSX를 포함한 여러 브랜드 하에 게임을 개발하고 퍼블리싱합니다. 이는 EA를 전 세계적으로 신뢰받는 브랜드 중 하나로 만들며, EA에서 자격 증명을 요청하는 페이지는 사용자에게 의심 없이 정보를 제공하도록 유도할 것입니다.

해커들이 정확히 이 목표를 달성했습니다.

Netcraft는 공격자들이 ea.com 도메인에 호스팅된 두 개의 웹사이트를 해킹한 서버에 침입했다고 보고합니다.

.

문제가 된 서버는 WebCalendar 1.2.0을 기반으로 한 캘린더를 호스팅하고 있습니다. 이는 오래된 소프트웨어 버전(2008)으로, 해커들이 악용할 수 있는 취약점이 가득합니다. 예를 들어, 공격자들은 설정을 수정하고 코드 실행을 가능하게 하는 CVE-2012-5385를 활용했을 수 있습니다.

“이 취약점 중 하나가 서버를 손상시키는 데 사용되었을 가능성이 높습니다. 피싱 콘텐츠는 WebCalendar 애플리케이션과 동일한 디렉토리에 위치하고 있습니다.”라고 Netcraft의 Paul Mutton이 블로그 게시물에서 언급했습니다.

피싱 페이지는 My Apple ID 로그인 페이지를 모방하도록 설계되었습니다. 먼저, 피해자들은 자신의 Apple ID와 비밀번호를 입력하라는 지시를 받습니다. 그런 다음, 이름, 결제 카드 번호, 만료 날짜, CVV, 생년월일 및 기타 개인 정보를 제공하라는 요청을 받습니다.

정보가 사이버 범죄자에게 제공되면, 피해자들은 의심을 피하기 위한 노력으로 Apple의 진짜 웹사이트로 리디렉션됩니다.

“손상된 서버는 EA의 자체 네트워크 내에 호스팅되고 있습니다. 손상된 인터넷 가시 서버는 종종 내부 서버를 공격하고 인터넷에서 보이지 않는 데이터를 접근하기 위한 ‘발판’으로 사용됩니다. 그러나 이러한 일이 발생했다는 명백한 외부 증거는 없습니다.”라고 Mutton이 설명했습니다.

“이 경우, 해커는 EA 서버에 임의의 PHP 스크립트를 설치하고 실행하는 데 성공했으므로, 적어도 캘린더의 내용과 서버에 존재하는 일부 소스 코드 및 기타 데이터를 볼 수 있을 가능성이 높습니다.”라고 그는 덧붙였습니다.

“오래된 소프트웨어의 존재만으로도 해커가 한 시스템을 다른 시스템보다 목표로 삼고 추가 취약점을 찾거나 내부 네트워크를 더 깊이 탐색하는 데 더 많은 시간을 할애하도록 유도할 수 있습니다.”