Les sites Web de plusieurs universités américaines diffusent du spam Fortnite et des «cartes-cadeaux».
Les chercheurs ont observé que les pages Wiki et de documentation hébergées par des universités telles que Stanford, MIT, Berkeley, UMass Amherst, Northeastern, Caltech, entre autres, étaient compromises.
BleepingComputer a confirmé que la campagne malveillante était en ligne et avait ciblé d’autres sites Web scolaires, dont celui de l’Université du Michigan.
Une campagne malveillante pirate des sites wiki universitaires
Cette semaine, l’utilisateur de Twitter g0njxa identifié plus d’une douzaine de sous-domaines appartenant à d’éminentes universités américaines qui diffusent du spam Fortnite.
Ces sites Web semblent exécuter TWiki ou MediaWiki, ce dernier étant une plate-forme CMS qui alimente Wikipedia et plusieurs sites Web Wikimedia.
Ces pages wiki, prétendument téléchargées par des spammeurs, attirent les lecteurs vers de faux sites qui prétendent offrir des « cartes-cadeaux gratuites », des « Fortnite Bucks » et des astuces, entre autres artefacts numériques.
Cependant, ces domaines chargent de fausses pages Fortnite qui sont en réalité des formulaires de phishing invitant les utilisateurs à fournir des informations d’identification :
Dans d’autres cas, a observé BleepingComputer, ces sites promettaient aux utilisateurs des cartes-cadeaux en échange de faux sondages :
L’Europass d’Europa également abusé
Bien que la campagne malveillante ait principalement ciblé les sites Web universitaires construits avec MediaWiki, il semble que certains sites Web gouvernementaux aient également été touchés par les mêmes acteurs de la menace.
Ceux-ci comprenaient des mini-sites hébergés par un Gouvernement de l’État brésilienainsi que Europa.eu de l’Union européenne.
Plus précisément, dans le cas d’Europa.eu, il semble que les spammeurs abusent de la Portfolio électronique Europass service—un portail de recherche d’emploi qui permet aux futurs résidents européens de créer et de télécharger leurs CV et lettres de motivation au format PDF :
On ne sait toujours pas quel exploit les acteurs de la menace exploitent pour télécharger des pages de spam et des documents PDF sur des sites Web appartenant à des organisations légitimes.
Le mois dernier, MediaWiki a publié mises à jour de sécurité corrigeant plusieurs vulnérabilités dans la plate-forme, mais aucune ne semble directement pertinente pour la campagne malveillante en cours.
BleepingComputer continue de rechercher la cause du problème.
Les administrateurs système de MediaWiki et TWiki doivent balayer leurs sites Web à la recherche de spam et de contenu malveillant, en particulier les ressources contenant des mots-clés tels que « carte cadeau », « Fortnite », etc.
Les utilisateurs doivent s’abstenir de cliquer sur des liens suspects dans les pages Wiki compromises.
Nous remercions l’analyste des renseignements sur les menaces Gi7w0rm pour le pourboire.