Skimmer silencieux : écrémage d’un an sur le Web
- par Kenan
- , le 3 octobre 2023
- 0 h 14 min
Depuis plus d’un an, une campagne motivée par des considérations financières cible les entreprises de paiement en ligne en Asie-Pacifique, en Amérique du Nord et en Amérique latine au moyen de dispositifs d’écrémage.
L’équipe de recherche et de renseignement de BlackBerry suit cette activité sous le nom de Silent Skimmer et l’attribue à un acteur connaissant la langue chinoise. Les principales victimes sont des entreprises en ligne et des fournisseurs de services de point de vente.
« Les auteurs de la campagne exploitent les vulnérabilités des applications web, en particulier celles hébergées sur Internet Information Services (IIS) », a déclaré la société canadienne de cybersécurité. « Leur principal objectif est de compromettre la page de paiement et de s’emparer des données de paiement sensibles des visiteurs.
Après avoir réussi à s’implanter, les auteurs de la menace utilisent de nombreux outils open-source et des techniques LotL (living-off-the-land) pour l’escalade des privilèges, la post-exploitation et l’exécution de code.
La chaîne d’attaque aboutit au déploiement d’un cheval de Troie d’accès à distance basé sur PowerShell (server.ps1) qui permet de contrôler l’hôte à distance, lequel se connecte à son tour à un serveur distant qui héberge des utilitaires supplémentaires, notamment des scripts de téléchargement, des proxies inversés et des balises Cobalt Strike.
L’objectif final de l’intrusion, selon BlackBerry, est d’infiltrer le serveur web et de déposer un scraper dans le service de paiement au moyen d’un shell web et de capturer furtivement les informations financières saisies par les victimes sur la page.
Un examen de l’infrastructure de l’adversaire révèle que les serveurs privés virtuels (VPS) utilisés pour le commandement et le contrôle (C2) sont choisis en fonction de la géolocalisation des victimes dans le but d’échapper à la détection. La diversité des secteurs et des régions ciblés indique qu’il s’agit d’une campagne opportuniste plutôt que d’une approche délibérée. L’attaquant se concentre principalement sur les sites web régionaux qui collectent des données de paiement en profitant des vulnérabilités des technologies couramment utilisées pour obtenir un accès non autorisé et récupérer les informations de paiement sensibles saisies ou stockées sur ces sites », a déclaré BlackBerry.