Un “s” de trop : alors que les fautes d’orthographes sévissent dans le monde entier, l’équipe sécuritaire Malwarebytes vient de mettre en lumière une faille sur Playback Now, une solution de visio-conférence audio et vidéo. En ajoutant un “s” au nom de domaine, une attaque de type skimmer peut s’opérer…
Comme évoqué dans le billet du 8 Octobre dernier de Malwarebytes Labs, le nom de domaine a pu être tronqué pour une redirection frauduleuse : en ajoutant un “s” à playbacknow(s).com, par l’entremise d’un code malveillant JavaScript, pas moins de 40 sites jointés à ce nom de domaine ont pu être diffusé sur les serveurs légitimes de Playback Now ; résultat : entre-autres, des injections de codes vers des sites e-commerce, grâce à une élévation de privilèges obtenu depuis une attaque brute-force.
Lors du paiement, une ex-filtration de données bancaires (skimmer) s’opère…
Parmi les CMS incriminés ou infectés, Magento mais il est noté que WordPress n’était pas impacté : de ce fait et malgré un hébergement commun, le site officiel Playback Now, paradoxalement ou heureusement, n’a eu aucune donnée compromise. L’exploit réside, tout de même, ce qui incitera probablement les administrateurs-serveurs du service, à la prudence… A veiller !
Source : Blog Malwarebytes Labs – 8 Octobre 2020 – Playback Now : PoC + indicateurs de compromission.