freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

你在看视频,黑客在窃取你的信用卡信息
2022-01-05 11:57:32
所属地 上海

在近日发生的一件信息窃取事件中,Palo Alto Networks Unit42安全团队发现,黑客正在通过云视频平台悄悄获取用户的信用卡信息。当安全人员发现这一攻击行为时,黑客利用视频播放器从100多个网站中获取了大量的信用卡信息。

黑客的做法是,利用云视频托管服务对百余家房地产网站进行供应链攻击,注入恶意脚本窃取网站表单信息。

这些脚本被称为表单劫持者,黑客会将它们注入网站以窃取输入表单的敏感信息,常被用于窃取在线商店付款页面的信息。

Unit42安全团队认为这是一次新型的供应链攻击,攻击者竟然利用云视频托管功能将浏览器代码注入视频播放器中,而当网站嵌入该播放器时,恶意脚本就会趁势感染该网站。

在此次供应链攻击事件中,Unit42安全团队总共发现了 100 多个受此攻击活动影响的房地产网站,这意味着攻击非常成功。截止到目前,他们已经通知了云视频平台,并帮助感染网站进行了清理。

利用视频播放器窃取信息

参与攻击的云视频平台允许用户创建JavaScript脚本来定义视频播放器。这种播放器通常被嵌入在房地产网站中使用,且托管在远程服务器上的静态JavaScript文件。

Unit42安全团队认为,攻击者通过供应链攻击访问了上游JavaScript文件,并将其修改,在里面植入了一个恶意脚本。

当视频播放器下一次更新时,就会向所有已嵌入播放器的房地产网站提供恶意脚本,从而允许脚本窃取输入进网站表单中的敏感信息,包括姓名、电子邮件地址、电话号码和信用卡信息。这些窃取的信息最后会被发送回攻击者控制的服务器,利用这些信息攻击者可以发起下一次攻击。

总的来说,攻击过程主要有三个步骤:

检查网页加载是否完成并调用next函数;

从 HTML 文档中读取客户输入信息并在保存之前调用数据验证函数;

通过创建HTML标记并使用服务器URL填充图像源,将收集到的数据发送到 C2 (https://cdn-imgcloud[.]com/img)。

很明显,使用传统的域名和 URL 阻断方法无法解决这一问题。因此,即便JavaScript 脚本来源是可信任的,也不意味着网站管理员就可以无条件将JavaScript 脚本嵌入网站中。相反,安全人员建议管理员应定期进行 Web 内容完整性检查并使用表单劫持检测解决方案。

参考来源:https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/

# 数据安全 # 恶意软件 # 信息窃取 # 供应链攻击
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录