在最近的一起信息窃取事件中,PaloAltoNetworksUnit42的安全团队发现黑客正在通过云视频平台悄悄获取用户的信用卡信息。当安全人员发现这次攻击时,黑客使用视频播放器从100多个网站获取大量信用卡信息。黑客的做法是利用云视频托管服务对百余家房地产网站进行供应链攻击,注入恶意脚本窃取网站表单信息。这些脚本被称为表单劫持者,被黑客注入网站以窃取输入表单的敏感信息,通常用于窃取在线商店支付页面的信息。Unit42安全团队认为,这是一种新型的供应链攻击。攻击者利用云视频托管功能将浏览器代码注入视频播放器。当播放器嵌入网站后,恶意脚本就会乘机感染网站。在这次供应链攻击中,Unit42安全团队一共发现了100多个房地产网站受到了这次攻击的影响,也就是说这次攻击非常成功。目前,他们已经通知了云视频平台,并帮助清理了被感染的网站。利用视频播放器窃取信息参与攻击的云视频平台允许用户创建JavaScript脚本来定义视频播放器。该播放器通常作为托管在远程服务器上的静态JavaScript文件嵌入到房地产网站中。Unit42安全团队认为,攻击者通过供应链攻击访问上游JavaScript文件,对其进行修改,并在其中植入恶意脚本。当视频播放器下一次更新时,恶意脚本会提供给所有嵌入播放器的房地产网站,允许脚本窃取输入网站表单的敏感信息,包括姓名、电子邮件地址、电话号码和信用卡信息。被窃取的信息最终会被发送回攻击者控制的服务器,攻击者可以利用这些信息发起下一次攻击。总的来说,攻击过程主要分为三个步骤:检查网页是否加载并调用下一个函数;从HTML文档中读取客户输入信息,保存前调用数据校验函数;通过创建HTML标记源,用服务器URL填充图像,将收集的数据发送到C2(https://cdn-imgcloud[.]com/img)。显然,使用传统的域名和URL阻止方法无法解决这个问题。因此,即使JavaScript脚本的来源是可信的,也不代表站长可以无条件地将JavaScript脚本嵌入到网站中。相反,安全专家建议管理员应该定期执行Web内容完整性检查并使用表单劫持检测解决方案。参考来源:https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/
