在近日发生的一件信息窃取事件中,Palo Alto Networks Unit42安全团队发现,黑客正在通过云视频平台悄悄获取用户的信用卡信息。当安全人员发现这一攻击行为时,黑客利用视频播放器从100多个网站中获取了大量的信用卡信息。
黑客的做法是,利用云视频托管服务对百余家房地产网站进行供应链攻击,注入恶意脚本窃取网站表单信息。
这些脚本被称为表单劫持者,黑客会将它们注入网站以窃取输入表单的敏感信息,常被用于窃取在线商店付款页面的信息。
Unit42安全团队认为这是一次新型的供应链攻击,攻击者竟然利用云视频托管功能将浏览器代码注入视频播放器中,而当网站嵌入该播放器时,恶意脚本就会趁势感染该网站。
在此次供应链攻击事件中,Unit42安全团队总共发现了 100 多个受此攻击活动影响的房地产网站,这意味着攻击非常成功。截止到目前,他们已经通知了云视频平台,并帮助感染网站进行了清理。
利用视频播放器窃取信息
参与攻击的云视频平台允许用户创建JavaScript脚本来定义视频播放器。这种播放器通常被嵌入在房地产网站中使用,且托管在远程服务器上的静态JavaScript文件。
Unit42安全团队认为,攻击者通过供应链攻击访问了上游JavaScript文件,并将其修改,在里面植入了一个恶意脚本。
当视频播放器下一次更新时,就会向所有已嵌入播放器的房地产网站提供恶意脚本,从而允许脚本窃取输入进网站表单中的敏感信息,包括姓名、电子邮件地址、电话号码和信用卡信息。这些窃取的信息最后会被发送回攻击者控制的服务器,利用这些信息攻击者可以发起下一次攻击。
总的来说,攻击过程主要有三个步骤:
- 检查网页加载是否完成并调用next函数;
- 从 HTML 文档中读取客户输入信息并在保存之前调用数据验证函数;
- 通过创建HTML标记并使用服务器URL填充图像源,将收集到的数据发送到 C2 (https://cdn-imgcloud[.]com/img)。
很明显,使用传统的域名和 URL 阻断方法无法解决这一问题。因此,即便JavaScript 脚本来源是可信任的,也不意味着网站管理员就可以无条件将JavaScript 脚本嵌入网站中。相反,安全人员建议管理员应定期进行 Web 内容完整性检查并使用表单劫持检测解决方案。
参考来源:
https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/
