Depuis plus d’un an, une campagne à motivation financière cible les entreprises de paiement en ligne de la région Asie-Pacifique, d’Amérique du Nord et d’Amérique latine à l’aide de web skimmers.
L’équipe BlackBerry Research and Intelligence suit l’activité sous le nom Écumeur silencieux, l’attribuant à un acteur connaissant la langue chinoise. Les principales victimes comprennent les entreprises en ligne et les fournisseurs de services de point de vente (PoS).
« Les opérateurs de la campagne exploitent les vulnérabilités des applications Web, notamment celles hébergées sur Internet Information Services (IIS) », la société canadienne de cybersécurité dit. « Leur objectif principal est de compromettre la page de paiement et de voler les données de paiement sensibles des visiteurs. »
Une première implantation réussie est suivie par les acteurs de la menace qui exploitent plusieurs outils open source et des techniques de vie hors du territoire (LotL) pour l’élévation des privilèges, la post-exploitation et l’exécution de code.
La chaîne d’attaque conduit au déploiement d’un cheval de Troie d’accès à distance basé sur PowerShell (server.ps1) qui permet de contrôler à distance l’hôte, qui, à son tour, se connecte à un serveur distant hébergeant des utilitaires supplémentaires, notamment le téléchargement de scripts, de proxys inverses et Balises Cobalt Strike.
L’objectif final de l’intrusion, selon BlackBerry, est d’infiltrer le serveur Web et de déposer un scraper dans le service de paiement au moyen d’un shell Web et de capturer furtivement les informations financières saisies par les victimes sur la page.
Un examen de l’infrastructure de l’adversaire révèle que les serveurs privés virtuels (VPS) utilisés pour le commandement et le contrôle (C2) sont choisis en fonction de la géolocalisation des victimes afin d’échapper à la détection.
La diversité des secteurs et des régions ciblées, associée au type de serveurs piratés, suggère une campagne opportuniste plutôt qu’une approche délibérée.
« L’attaquant se concentre principalement sur les sites Web régionaux qui collectent des données de paiement, profitant des vulnérabilités des technologies couramment utilisées pour obtenir un accès non autorisé et récupérer des informations de paiement sensibles saisies ou stockées sur le site », a déclaré BlackBerry.
Cette divulgation intervient alors que Sophos a divulgué les détails d’une escroquerie de boucherie de porcs dans laquelle des cibles potentielles sont incitées à investir dans de faux programmes d’investissement en crypto-monnaie après avoir été approchées sur des applications de rencontres comme MeetMe, rapportant aux acteurs des millions de profits illicites.
Ce qui distingue la dernière opération, c’est l’utilisation de extraction de liquidité leurres, promettant aux utilisateurs des revenus réguliers à des taux de rendement élevés pour l’investissement dans un pool de liquidité, où les actifs virtuels sont garés pour faciliter les transactions sur les bourses décentralisées.
« Ces escroqueries ne nécessitent aucun logiciel malveillant sur l’appareil de la cible, ni aucun ‘piratage’ d’aucune sorte autre que des sites Web frauduleux et de l’ingénierie sociale – convaincre les cibles de connecter leur portefeuille à un contrat intelligent Ethereum qui donne aux fraudeurs la permission de vider le portefeuille », sécurité chercheur Sean Gallagher dit.