avril 8, 2021

Justice instantanée: WeLeakInfo piraté avec une attaque de réutilisation d’un ancien domaine

Par admin2020


Les domaines expirés (ex-domaines) ont toujours été des cibles faciles pour les pirates et les groupes cybercriminels. La mauvaise nouvelle est que cette tendance ne disparaîtra pas de sitôt. Dans une tournure bizarre des événements, WeLeakInfo, le fournisseur d’informations illégal saisi par le FBI, a été piraté via une attaque classique d’exploitation de domaine expiré. Parlez de voler les méchants. Plongeons-y.

Avant d’être fermé par le FBI au début de 2020, WeLeakInfo était le site Web incontournable pour vendre et acheter des données volées et des informations personnelles. Mais même les méchants ne sont pas à l’abri des hacks. Plus de 20 000 cybercriminels qui utilisaient la plate-forme WeLeakInfo autrefois populaire, sont maintenant devenues des victimes. Leurs identifiants et informations personnelles volés sont désormais vendus sur le dark web.

Cet article abordera ce qui s’est passé et comment cela peut être évité.

  Site Web de WeLeakInfo après le piratage
Source: site Web WeLeakInfo

WeLeakInfo: Que s’est-il exactement passé?

WeLeakInfo était le terrain de jeu ultime pour les hackers. Noms, adresses e-mail, détails IP, numéros de téléphone – il n’y a aucun enregistrement volé que vous n’avez pas pu trouver sur cette plate-forme. Les estimations indiquent que les données de plus de 10000 violations de données, y compris un total de plus de 12 milliards d’informations d’identification utilisateur, ont été hébergées sur WeLeakInfo au fil des ans. Les transactions ont été effectuées via le mode de paiement Stripe.

Un hacker bien connu («Pompompurin»)a récemment fait une énorme révélation sur Raidforums, un forum cybercriminel populaire. Il a révélé son exploit – les journaux de paiement et d’activité WeLeakInfo qui ont été volés en raison de la récente expiration du domaine de “WeLeakInfo.design ». C’était un domaine crucial car il était utilisé pour collecter des e-mails et documenter des détails de paiement sensibles.

Ce domaine expiré remonte à 2016, lorsqu’il a été enregistré auprès de Dynadot, un registraire de domaine où le principal “WeLeakInfo.com » résidait également. cependant, WeLeakInfo.design a ensuite été transféré à un autre registraire, Namecheap, qui a finalement expiré. «Pompompurin» a terminé le piratage en publiant des captures d’écran de lui-même connecté au compte Stripe.com de WeLeakInfo.

  Compte Hacked Stripe.com de WeLeakInfo.
Compte Hacked Stripe.com de WeLeakInfo.

Fait intéressant, les détails de gestion et de propriété ont été mis à jour vers une adresse basée au Royaume-Uni. La National Crime Agency (NCA) a déjà fait quelques arrestations.

Comment les attaques Ex-Domain sont-elles exécutées?

La numérisation rapide des services de détail, de banque, de finance, d’assurance, de santé et de billetterie a créé un écosystème complexe de services tiers et de domaines croisés. Les applications tierces aident à augmenter le temps de mise sur le marché et la productivité, mais créent également des dépendances avec des applications externes et, comme nous le voyons maintenant, avec des domaines expirés.

Il y a de mauvaises nouvelles. Les outils de sécurité des applications traditionnels et les contrôles Web ne peuvent tout simplement pas détecter ces dynamiques. Votre site Web peut utiliser plus d’une centaine de domaines distants qui communiquent avec les navigateurs et permettent aux pirates de créer de nouveaux vecteurs d’attaque, mais vous ne pouvez pas le savoir avant qu’il ne soit trop tard. Cela devient un énorme défi de cybersécurité aujourd’hui.

Comment les vecteurs d’attaque sont-ils créés avec les ex-domaines? C’est assez simple.

Supposons que vous ayez un site Web avec un script qui charge des informations à partir d’un domaine expiré. Supposons que c’est InstantKarma.com. Le script est là, parce que peut-être que quelqu’un a oublié de le supprimer, ou que la société qui contrôlait le script a été vendue. Un pirate informatique peut désormais acheter InstantKarma.com pour une petite somme d’argent et il dispose d’un puissant vecteur d’attaque pour accéder au site Web. C’est si facile.

Tout ce que le hacker doit faire après cela est de manipuler la réponse au moment où le script est appelé. Par exemple, si vous avez planté une ligne de code (LoC) pour le domaine expiré –