在近日产生的一件信息窃取事情中,Palo Alto Networks Unit42安全性精英团队发觉,网络黑客已经根据云视频网站悄悄的获得客户的银行信用卡信息。当安全性工作人员发觉这一攻击个人行为时,网络黑客利用视频播放软件从100好几个网址中获得了大批量的银行信用卡信息。
网络黑客的作法是,利用云直播托管服务对百余家房地产网站开展供应链管理攻击,引入故意脚本窃取网址表格信息。
这种脚本被称作表格劫持者,网络黑客会将他们引入网址以窃取键入表格的比较敏感信息,常被用以窃取在线商店支付网页页面的信息。
Unit42安全性精英团队觉得这也是一次新的供应链管理攻击,攻击者居然利用云视频托管作用将电脑浏览器编码引入视频播放软件中,而当网址置入该视频播放器时,故意脚本便会乘势感柒该网址。
在本次供应链管理攻击事情中,Unit42安全性精英团队一共发觉了 100 好几个受此攻击主题活动危害的房地产网站,这代表着攻击十分取得成功。截止到现阶段,她们早已通告了云视频网站,并协助感柒网址开展了清除。
利用视频播放软件窃取信息
参加攻击的云视频网站容许客户建立JavaScript脚本来界定视频播放软件。这类视频播放器通常被置入在房地产网站中应用,且代管在远程电脑上的静态数据JavaScript文档。
Unit42安全性精英团队觉得,攻击者根据供应链管理攻击浏览了上下游JavaScript文档,并将其改动,在里面嵌入了一个故意脚本。
当视频播放软件下一次升级时,便会向全部已置入视频播放器的房地产网站给予故意脚本,进而容许脚本窃取键入进网址表格中的比较敏感信息,包含名字、电子邮箱地址、联系电话和银行信用卡信息。这种窃取的信息最终会被推送回攻击者操纵的网络服务器,利用这种信息攻击者可以进行下一次攻击。
总体来说,攻击全过程关键有三个流程:
- 查验网页页面载入是不是进行并启用next函数公式;
- 从 HTML 文本文档中载入顾客键入信息并在储存以前启用数据验证函数公式;
- 根据建立HTML标识并应用网络服务器URL添充图象源,将采集到的信息发送至 C2 (https://cdn-imgcloud[.]com/img)。
很显著,应用传统式的网站域名和 URL 阻隔方式难以处理这一问题。因而,就算JavaScript 脚本来源于是可信任站点的,都不代表着系统管理员就可以没有理由将JavaScript 脚本置入网址中。反过来,安全性工作人员提议管理人员应定时开展 Web 內容完整性检查并应用表格挟持检验解决方法。
参照来源于:
https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/