L’une des plus grandes attaques de l’année contre la chaîne d’approvisionnement numérique a été lancée par une entreprise peu connue qui a redirigé un grand nombre d’internautes vers un réseau de sites de jeux de hasard imitateurs, selon des chercheurs en sécurité.
Plus tôt cette année, une société appelée FUNNULL acheté Polyfill.ioun domaine hébergeant une bibliothèque JavaScript open source qui, si elle est intégrée à des sites Web, peut permettre aux navigateurs obsolètes d’exécuter des fonctionnalités trouvées dans les navigateurs plus récents. Une fois aux commandes de Polyfill.io, FUNNULL a utilisé le domaine essentiellement pour mener une attaque contre la chaîne d’approvisionnement, comme l’a rapporté la société de cybersécurité Sansec en juinoù FUNNULL a repris un service légitime et a abusé de son accès à potentiellement des millions de sites Web pour transmettre des logiciels malveillants à leurs visiteurs.
Au moment du rachat de Polyfill.io, l’auteur original de Polyfill a averti qu’il n’avait jamais possédé le domaine Polyfill.io et les sites Web suggérés suppriment complètement le code Polyfill hébergé pour éviter les risques. En outre, les fournisseurs de réseaux de diffusion de contenu Cloudflare et Fastly ont publié leurs propres miroirs de Polyfill.io pour offrir une alternative sûre et fiable aux sites Web qui souhaitaient continuer à utiliser la bibliothèque Polyfill.
On ne sait pas exactement quel était l’objectif de l’attaque contre la chaîne d’approvisionnement, mais Willem de Groot, le fondateur de Sansec, écrit sur X à l’époque qu’il semblait s’agir d’une tentative de monétisation « ridiculement mauvaise ».
Aujourd’hui, les chercheurs en sécurité de Silent Push affirment avoir cartographié un réseau de milliers de sites de jeux chinois et l’avoir lié à FUNNULL et à l’attaque de la chaîne d’approvisionnement Polyfill.io.
Selon le rapport des chercheursqui avait été partagé avec TechCrunch à l’avance, FUNNULL utilisait son accès à Polyfill.io pour injecter des logiciels malveillants et rediriger les visiteurs du site Web de ce réseau malveillant de casinos et de sites de jeux en ligne.
“Il semble probable que ce ‘réseau de jeu en ligne’ soit une façade”, a déclaré à TechCrunch Zach Edwards, analyste principal des menaces et l’un des chercheurs qui ont travaillé sur le rapport Silent Push. Edwards a ajouté que FUNNULL « exploite ce qui semble être l’un des plus grands réseaux de jeux d’argent en ligne sur Internet ».
Chercheurs de Silent Push dit dans son rapport qu’ils ont pu identifier environ 40 000 sites Web, pour la plupart en langue chinoise, hébergés par FUNNULL, tous avec des domaines d’apparence similaire et probablement générés automatiquement, composés d’une dispersion de lettres et de chiffres apparemment aléatoires. Ces sites semblaient usurper l’identité de marques de jeux d’argent et de casino en ligne, notamment Sands, un conglomérat de casinos propriétaire du Venetian Macau ; le Grand Lisboa à Macao ; Groupe SunCity ; ainsi que les portails de jeux en ligne Bet365 et Bwin.
Une capture d’écran de l’un des milliers de sites de jeux en ligne contenant du spam hébergés sur le CDN de FUNNULL. (Image : TechCrunch)
Chris Alfred, porte-parole d’Entain, la société mère de Bwin, a déclaré à TechCrunch que la société « peut confirmer qu’il ne s’agit pas d’un domaine que nous possédons, il semble donc que le propriétaire du site porte atteinte à notre marque Bwin, nous prendrons donc des mesures pour résoudre le problème. ce.”
Sands, SunCity Group, Macau Grand Lisboa et Bet365 n’ont pas répondu aux multiples demandes de commentaires.
Edwards a déclaré à TechCrunch que lui et ses collègues avaient trouvé le compte GitHub d’un développeur FUNNULL, qui discutait du « transfert d’argent », une expression qui, selon eux, fait référence au blanchiment d’argent. La page GitHub contenait également des liens vers des chaînes Telegram qui incluent des mentions des marques de jeux usurpées dans le réseau de sites spammés, ainsi que des discussions sur le transfert d’argent.
“Et ces sites sont tous destinés à transférer de l’argent, ou constituent leur objectif principal”, a déclaré Edwards.
Le réseau de sites suspects, selon Edwards et ses collègues, est hébergé sur Le réseau de diffusion de contenu de FUNNULLou CDN, dont le site Web réclamations être « Made in USA » mais répertorie plusieurs adresses de bureaux au Canada, en Malaisie, aux Philippines, à Singapour, en Suisse et aux États-Unis, qui semblent tous être des lieux sans adresse répertoriée dans le monde réel.
Sur son profil sur HUIDU, une plaque tournante de l’industrie du jeu, FUNNULL dit il possède « plus de 30 centres de données sur le continent », faisant probablement référence à la Chine continentale, et dispose d’une « salle de serveurs automatisés de haute sécurité en Chine ».
Pour une entreprise technologique apparente, FUNNULL rend ses représentants difficiles à atteindre. TechCrunch s’est efforcé de contacter l’entreprise pour solliciter des commentaires et lui poser des questions sur son rôle dans l’attaque apparente de la chaîne d’approvisionnement, mais n’a reçu aucune réponse à nos demandes.
Sur son site Internet, FUNNULL répertorie une adresse email qui n’existe pas ; un numéro de téléphone que l’entreprise prétend être sur WhatsApp, mais qui n’a pas pu être atteint ; le même numéro qui, sur WeChat, semble appartenir à une femme de Taiwan sans affiliation à FUNNULL ; un compte Skype qui n’a pas répondu à nos demandes de commentaires ; et un compte Telegram qui s’identifie uniquement comme « Sara » et a le logo FUNNULL comme avatar.
Une société appelée ACB Group prétendait posséder FUNNULL sur une version archivée de son site officielqui est maintenant hors ligne. Le groupe ACB n’a pas pu être contacté par TechCrunch.
Avec l’accès à des millions de sites Web, FUNNULL aurait pu lancer des attaques bien plus dangereuses, comme l’installation de ransomwares, malware d’essuie-glaceou des logiciels espions, contre les visiteurs des sites Web contenant du spam. Ces types d’attaques sur la chaîne d’approvisionnement sont de plus en plus possibles car le Web est désormais un réseau mondial complexe de sites Web souvent construits avec des outils tiers, contrôlés par des tiers qui, parfois, peuvent s’avérer malveillants.
Cette fois, l’objectif était apparemment de monétiser un réseau de sites spammés. La prochaine fois, ça pourrait être bien pire.
#Des #chercheurs #associent #lattaque #chaîne #dapprovisionnement #Polyfill #vaste #réseau #sites #jeux #hasard #imitateurs
