Apple ID и пароли украдены с помощью взломанного сервера Electronic Arts (EA), размещающего фишинговые страницы

Отчет, опубликованный Netcraft, сообщает, что киберпреступникам удалось взломать два веб-сайта, размещенных на сервере Electronic Arts (EA). Затем они использовали эти два веб-сайта для фишинга пользователей Apple. Изображение ниже показывает веб-сайт, который размещает фишинговую страницу.

.

EA или Electronic Arts — это всемирно известный разработчик и издатель видеоигр, ПК и мобильных игр. EA разрабатывает и публикует игры под несколькими брендами, включая EA Sports, Madden NFL, FIFA, NHL, NCAA Football, NBA Live и SSX. Это делает EA одним из самых доверенных брендов в мире, и любая страница от EA, запрашивающая ваши учетные данные, заставляет пользователя предоставить их без каких-либо сомнений.

• *

Это именно то, чего удалось добиться хакерам.

Netcraft сообщает, что злоумышленники взломали сервер, который размещает два веб-сайта на домене ea.com

.

Сервер в данном случае размещает календарь на основе WebCalendar 1.2.0. Это старая версия программного обеспечения (2008 года), поэтому она полна уязвимостей, которые могли быть использованы хакерами. Например, злоумышленники могли воспользоваться уязвимостью CVE-2012-5385, которая может быть использована для изменения настроек и, возможно, даже для выполнения кода.

• *

«Вероятно, одна из этих уязвимостей была использована для компрометации сервера, так как фишинговый контент находится в той же директории, что и приложение WebCalendar», — отметил Пол Маттон из Netcraft в блоге.

• *

Фишинговая страница разработана так, чтобы имитировать страницу входа в My Apple ID. Сначала жертвам предлагается ввести свой Apple ID и пароль. Затем их просят предоставить свое имя, номер платежной карты, дату окончания действия, CVV, дату рождения и другую личную информацию.

• *

Как только информация будет предоставлена киберпреступникам, жертвы перенаправляются на подлинный веб-сайт Apple, вероятно, чтобы избежать подозрений.

• *

«Скомпрометированный сервер размещен в сети EA. Скомпрометированные серверы, доступные в интернете, часто используются как «переходные мосты» для атаки на внутренние серверы и доступа к данным, которые иначе были бы невидимы для интернета, хотя нет очевидных внешних доказательств того, что это произошло», — объяснил Маттон.

• *

«В данном случае хакер смог установить и выполнить произвольные PHP-скрипты на сервере EA, поэтому вероятно, что он может как минимум также просматривать содержимое календаря и некоторый исходный код и другие данные, присутствующие на сервере», — добавил он.

• *

«Присутствие устаревшего программного обеспечения часто может предоставить достаточный стимул для хакера нацелиться на одну систему вместо другой и потратить больше времени на поиск дополнительных уязвимостей или попытки углубиться в внутреннюю сеть.»

• *