Des hackers associés au groupe «Fullz House» ont compromis le site Web de Boom! Mobile et planté un skimmer Web, rapporte Malwarebytes.

La victime, un fournisseur de services sans fil basé en Oklahoma, prétend offrir un excellent service client et une grande transparence à ses utilisateurs, le tout sans contrat. Les forfaits de téléphonie mobile qu’elle vend fonctionnent sur d’autres grands réseaux du pays.

Initialement détaillé en novembre 2019, Fullz House est actif depuis plus d’un an, axé soit sur le phishing pour les informations personnellement identifiables, les informations d’identification bancaires et les données de carte bancaire, soit sur l’écrémage ou le phishing des données de cartes de sites de commerce électronique.

Les deux parties constituant l’activité de ce groupe sont séparées, mais les chercheurs en sécurité ont observé par le passé des chevauchements dans l’infrastructure (y compris des chevauchements entre l’infrastructure utilisée pour les opérations de vente et celle utilisée pour le vol de données).

L’attaque sur Boom! Mobile, révèle Malwarebytes, impliquait l’injection d’une ligne de code contenant une URL encodée en Base64 conçue pour charger une bibliothèque JavaScript à partir d’un domaine distant utilisé lors d’une attaque précédente.

Selon les chercheurs en sécurité de Malwarebytes, l’URL injectée charge un faux script Google Analytics qui n’est rien de plus qu’un écumeur de carte de crédit conçu pour trouver des champs de saisie spécifiques et exfiltrer les données de ces champs.

«Ce skimmer est assez bruyant car il va exfiltrer les données à chaque fois qu’il détecte un changement dans les champs affichés sur la page en cours. Du point de vue du trafic réseau, vous pouvez voir chaque fuite comme une seule requête GET où les données sont encodées en Base64 », expliquent les chercheurs.

Malwarebytes explique également que les attaquants ont enregistré un grand nombre de nouveaux domaines fin septembre, un modèle que le groupe a suivi auparavant. Le groupe a également été actif pendant l’été.

Boom! Le site Web de Mobile utilise la version 5.6.40 de PHP (qui a pris fin en janvier dernier …

Voir la source de cette publication