Posté le mai 13, 2019 à 18:07

4600 SITES WEB COLLECTENT DES DONNÉES D’UTILISATEUR AU COURS D’UNE ATTAQUE

Picreel et Alpaca Forms ont été violés avec des fichiers JavaScript modifiés intégrant du code malveillant dans plus de 4600 sites Web. Cette nouvelle a été révélée par le chercheur en sécurité Willem De Groot, fondateur de Sanguine Security, et a été confirmée par d’autres chercheurs de la communauté de la sécurité informatique, les codes malveillants ayant finalement été mis hors ligne il y a 4 heures au moment de la rédaction du présent article.

Picreel est un service d’analyse spécialisé dans l’enregistrement du comportement de l’utilisateur final. Leurs outils permettent aux webmasters d’enregistrer les interactions des consommateurs avec un site Web, ce qui permet de créer des modèles de comportement. Cela se traduit ensuite par une conversion optimisée via un contenu plus orienté et une conception plus intuitive (pour le public cible). Le code JavaScript que les webmasters incorporent dans leurs pages Web pour suivre le comportement des consommateurs a été modifié avec le code malveillant.

Alpaca Forms, en revanche, est un projet Open Source qui permet aux utilisateurs de créer des formulaires. Il a été initialement construit par Cloud CMS avant d’être open source il y a plus de huit ans, la société fournissant toujours un service gratuit CDN (Content Delivery Network) pour le projet qu’ils ont créé. Dans le cas de l’Alpaca, les hackers ont réussi à infiltrer le CDN géré par Cloud CMS pour modifier l’un des scripts d’alpaga. Il semble que seul le script ait été modifié et l’entreprise affirme que rien d’autre a été touché.

Les données de formulaire en ligne sont toutes enregistrées par les hackers

Le fait que les hackers ont réussi à infiltrer Picreel et Alpaca Forms hébergé par Cloud CMS et utilisant le réseau CDN reste actuellement un mystère. ZDNet a réussi à parler à Willem De Groot via Twitter et le chercheur en sécurité leur a dit que le même acteur était responsable des deux attaques. Le code inséré dans les fichiers JavaScript enregistre toutes les données saisies dans les formulaires et les envoie à un serveur situé au Panama. Les données proviennent de formulaires trouvés sur les pages de paiement, ainsi que de formulaire de contact et de session de logins.

Cela signifie que les hackers ont accès à un large éventail de mots de passe, de noms d’utilisateur et de détails de carte de crédit à partir des deux intrusions qui ont entraîné le piratage de milliers de sites Web. Les données potentielles collectées pourraient atteindre des millions d’utilisateurs à travers le monde.

Cloud CMS a agi rapidement et a même répondu à De Groot sur Twitter pour confirmer qu’ils n’avaient pas été attaqués via Amazon S3. La société a déclaré qu’il s’agissait d’un «piratage à l’origine» et que les hackers avaient exploité une vulnérabilité http très connue. La société a supprimé les fichiers JavaScript fautifs et les a remis après avoir sécurisé le CDN.

Nous avons enquêté sur cela. Ce n’était pas lié au Cloud CMS mais plutôt au projet open source Alpaca Forms. Nous avons supprimé l’hébergement gratuit de ces fichiers js infectés pour le moment. Et nous les remettrons en ligne aussi vite que possible. Merci pour toutes les informations que vous avez fournies!

– Cloud CMS (@CloudCMS) 12 mai 2019

Les attaques contre la chaîne logistique se multiplient

Les attaques contre la chaîne logistique ont considérablement augmenté au cours des deux dernières années, mais les hackers ont compris que les grandes entreprises ne sont plus des cibles faciles. Cela dit, il existe encore des exceptions, telles que la défaillance de la chaîne logistique Asus, qui a vu son programme de mise à jour préinstallé regorgeant de code malveillant qui permettait aux hackers d’installer la charge utile jugée nécessaire.

Les hackers ont lentement commencé à concentrer leurs attaques sur les petites entreprises qui fournissent des scripts et d’autres codes secondaires à des petits magasins en ligne. Il s’agit entre autres de widgets de discussion, de scripts de support en direct et d’analyses. Picreel est un exemple d’analyse, alors que Alpaca Forms serait un exemple d’infection de formulaires. Les motivations d’une attaque sont généralement simples, car elles sont principalement d’ordre financière, bien que des attaques plus ciblées soient connues pour installer des scripts malveillants de minage de cryptomonnaie ou voler uniquement des données à partir de formulaires de paiement.

Cette attaque, en revanche, était très vaste et visait à obtenir le plus d’informations possible, chaque formulaire des sites Web infectés envoyant leurs données au serveur Panama. L’acteur de la menace à l’origine de cette dernière violation de la chaîne logistique n’a pas encore été identifié de sorte que la nature exacte de l’attaque reste donc inconnue pour le moment.