官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

在近日发生的一件信息窃取事件中，Palo Alto Networks Unit42安全团队发现，黑客正在通过云视频平台悄悄获取用户的信用卡信息。当安全人员发现这一攻击行为时，黑客利用视频播放器从100多个网站中获取了大量的信用卡信息。

黑客的做法是，利用云视频托管服务对百余家房地产网站进行供应链攻击，注入恶意脚本窃取网站表单信息。

这些脚本被称为表单劫持者，黑客会将它们注入网站以窃取输入表单的敏感信息，常被用于窃取在线商店付款页面的信息。

Unit42安全团队认为这是一次新型的供应链攻击，攻击者竟然利用云视频托管功能将浏览器代码注入视频播放器中，而当网站嵌入该播放器时，恶意脚本就会趁势感染该网站。

在此次供应链攻击事件中，Unit42安全团队总共发现了 100 多个受此攻击活动影响的房地产网站，这意味着攻击非常成功。截止到目前，他们已经通知了云视频平台，并帮助感染网站进行了清理。

利用视频播放器窃取信息

参与攻击的云视频平台允许用户创建JavaScript脚本来定义视频播放器。这种播放器通常被嵌入在房地产网站中使用，且托管在远程服务器上的静态JavaScript文件。

Unit42安全团队认为，攻击者通过供应链攻击访问了上游JavaScript文件，并将其修改，在里面植入了一个恶意脚本。

当视频播放器下一次更新时，就会向所有已嵌入播放器的房地产网站提供恶意脚本，从而允许脚本窃取输入进网站表单中的敏感信息，包括姓名、电子邮件地址、电话号码和信用卡信息。这些窃取的信息最后会被发送回攻击者控制的服务器，利用这些信息攻击者可以发起下一次攻击。

总的来说，攻击过程主要有三个步骤：

检查网页加载是否完成并调用next函数；

从 HTML 文档中读取客户输入信息并在保存之前调用数据验证函数；

通过创建HTML标记并使用服务器URL填充图像源，将收集到的数据发送到 C2 (https://cdn-imgcloud[.]com/img)。

很明显，使用传统的域名和 URL 阻断方法无法解决这一问题。因此，即便JavaScript 脚本来源是可信任的，也不意味着网站管理员就可以无条件将JavaScript 脚本嵌入网站中。相反，安全人员建议管理员应定期进行 Web 内容完整性检查并使用表单劫持检测解决方案。

参考来源：https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/