IDs e senhas da Apple roubados com um servidor da Electronic Arts (EA) hackeado hospedando páginas de phishing

Um relatório publicado pela Netcraft diz que criminosos cibernéticos conseguiram hackear dois sites hospedados em um servidor da Electronic Arts (EA). E então procederam a usar esses dois sites para phishing de usuários da Apple. A imagem abaixo é do site que está hospedando a página de phishing.

.

EA ou Electronic Arts é um desenvolvedor e publicador de jogos mundialmente renomado de jogos de vídeo, PC e mobile. A EA desenvolve e publica jogos sob várias marcas, incluindo títulos da EA Sports, Madden NFL, FIFA, NHL, NCAA Football, NBA Live e SSX. Isso faz da EA uma das marcas confiáveis em todo o mundo e qualquer página da EA pedindo suas credenciais está destinada a fazer o usuário as fornecer sem pensar duas vezes.

• *

Isso é exatamente o que os hackers conseguiram alcançar.

Netcraft relata que os atacantes hackearam um servidor que hospeda dois sites no domínio ea.com

.

O servidor em questão hospeda um calendário baseado no WebCalendar 1.2.0. Esta é uma versão antiga do software (2008), portanto está cheia de vulnerabilidades que poderiam ter sido exploradas pelos hackers. Por exemplo, os atacantes poderiam ter aproveitado a CVE-2012-5385, que pode ser explorada para modificar configurações e possivelmente até executar código.

• *

“É provável que uma dessas vulnerabilidades tenha sido usada para comprometer o servidor, já que o conteúdo de phishing está localizado no mesmo diretório que a aplicação WebCalendar,” observou Paul Mutton da Netcraft em um post no blog.

• *

A página de phishing é projetada para imitar a página de login do Meu ID Apple. Primeiro, as vítimas são instruídas a inserir seu ID Apple e sua senha. Em seguida, são solicitadas a fornecer seu nome, número do cartão de pagamento, data de validade, CVV, data de nascimento e outras informações pessoais.

• *

Uma vez que as informações são fornecidas aos cibercriminosos, as vítimas são redirecionadas para o site genuíno da Apple, provavelmente em um esforço para evitar levantar qualquer suspeita.

• *

“O servidor comprometido está hospedado dentro da própria rede da EA. Servidores visíveis na internet comprometidos são frequentemente usados como ‘pedras de apoio’ para atacar servidores internos e acessar dados que, de outra forma, estariam invisíveis para a internet, embora não haja evidências óbvias para sugerir que isso tenha acontecido,” explicou Mutton.

• *

“Neste caso, o hacker conseguiu instalar e executar scripts PHP arbitrários no servidor da EA, então é provável que ele possa pelo menos também visualizar o conteúdo do calendário e parte do código-fonte e outros dados presentes no servidor,” acrescentou.

• *

“A mera presença de software antigo pode muitas vezes fornecer um incentivo suficiente para um hacker direcionar um sistema em vez de outro e gastar mais tempo procurando vulnerabilidades adicionais ou tentando sondar mais profundamente na rede interna.”

• *