在近日發(fā)生的一件信息竊取事件中，Palo Alto Networks Unit42安全團(tuán)隊(duì)發(fā)現(xiàn)，黑客正在通過云視頻平臺(tái)悄悄獲取用戶的信用卡信息。當(dāng)安全人員發(fā)現(xiàn)這一攻擊行為時(shí)，黑客利用視頻播放器從100多個(gè)網(wǎng)站中獲取了大量的信用卡信息。

黑客的做法是，利用云視頻托管服務(wù)對(duì)百余家房地產(chǎn)網(wǎng)站進(jìn)行供應(yīng)鏈攻擊，注入惡意腳本竊取網(wǎng)站表單信息。

這些腳本被稱為表單劫持者，黑客會(huì)將它們注入網(wǎng)站以竊取輸入表單的敏感信息，常被用于竊取在線商店付款頁面的信息。

Unit42安全團(tuán)隊(duì)認(rèn)為這是一次新型的供應(yīng)鏈攻擊，攻擊者竟然利用云視頻托管功能將瀏覽器代碼注入視頻播放器中，而當(dāng)網(wǎng)站嵌入該播放器時(shí)，惡意腳本就會(huì)趁勢(shì)感染該網(wǎng)站。

在此次供應(yīng)鏈攻擊事件中，Unit42安全團(tuán)隊(duì)總共發(fā)現(xiàn)了 100 多個(gè)受此攻擊活動(dòng)影響的房地產(chǎn)網(wǎng)站，這意味著攻擊非常成功。截止到目前，他們已經(jīng)通知了云視頻平臺(tái)，并幫助感染網(wǎng)站進(jìn)行了清理。

利用視頻播放器竊取信息

參與攻擊的云視頻平臺(tái)允許用戶創(chuàng)建JavaScript腳本來定義視頻播放器。這種播放器通常被嵌入在房地產(chǎn)網(wǎng)站中使用，且托管在遠(yuǎn)程服務(wù)器上的靜態(tài)JavaScript文件。

Unit42安全團(tuán)隊(duì)認(rèn)為，攻擊者通過供應(yīng)鏈攻擊訪問了上游JavaScript文件，并將其修改，在里面植入了一個(gè)惡意腳本。

當(dāng)視頻播放器下一次更新時(shí)，就會(huì)向所有已嵌入播放器的房地產(chǎn)網(wǎng)站提供惡意腳本，從而允許腳本竊取輸入進(jìn)網(wǎng)站表單中的敏感信息，包括姓名、電子郵件地址、電話號(hào)碼和信用卡信息。這些竊取的信息最后會(huì)被發(fā)送回攻擊者控制的服務(wù)器，利用這些信息攻擊者可以發(fā)起下一次攻擊。

總的來說，攻擊過程主要有三個(gè)步驟：

• 檢查網(wǎng)頁加載是否完成并調(diào)用next函數(shù);
• 從 HTML 文檔中讀取客戶輸入信息并在保存之前調(diào)用數(shù)據(jù)驗(yàn)證函數(shù);
• 通過創(chuàng)建HTML標(biāo)記并使用服務(wù)器URL填充圖像源，將收集到的數(shù)據(jù)發(fā)送到 C2 (https://cdn-imgcloud[.]com/img)。

很明顯，使用傳統(tǒng)的域名和 URL 阻斷方法無法解決這一問題。因此，即便JavaScript 腳本來源是可信任的，也不意味著網(wǎng)站管理員就可以無條件將JavaScript 腳本嵌入網(wǎng)站中。相反，安全人員建議管理員應(yīng)定期進(jìn)行 Web 內(nèi)容完整性檢查并使用表單劫持檢測(cè)解決方案。

參考來源：

https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/