在近日發(fā)生的一件信息竊取事件中，Palo Alto Networks Unit42安全團隊發(fā)現(xiàn)，黑客正在通過云視頻平臺悄悄獲取用戶的信用卡信息。當安全人員發(fā)現(xiàn)這一攻擊行為時，黑客利用視頻播放器從100多個網(wǎng)站中獲取了大量的信用卡信息。

黑客的做法是，利用云視頻托管服務對百余家房地產(chǎn)網(wǎng)站進行供應鏈攻擊，注入惡意腳本竊取網(wǎng)站表單信息。

這些腳本被稱為表單劫持者，黑客會將它們注入網(wǎng)站以竊取輸入表單的敏感信息，常被用于竊取在線商店付款頁面的信息。

Unit42安全團隊認為這是一次新型的供應鏈攻擊，攻擊者竟然利用云視頻托管功能將瀏覽器代碼注入視頻播放器中，而當網(wǎng)站嵌入該播放器時，惡意腳本就會趁勢感染該網(wǎng)站。

在此次供應鏈攻擊事件中，Unit42安全團隊總共發(fā)現(xiàn)了 100 多個受此攻擊活動影響的房地產(chǎn)網(wǎng)站，這意味著攻擊非常成功。截止到目前，他們已經(jīng)通知了云視頻平臺，并幫助感染網(wǎng)站進行了清理。

利用視頻播放器竊取信息

參與攻擊的云視頻平臺允許用戶創(chuàng)建JavaScript腳本來定義視頻播放器。這種播放器通常被嵌入在房地產(chǎn)網(wǎng)站中使用，且托管在遠程服務器上的靜態(tài)JavaScript文件。

Unit42安全團隊認為，攻擊者通過供應鏈攻擊訪問了上游JavaScript文件，并將其修改，在里面植入了一個惡意腳本。

當視頻播放器下一次更新時，就會向所有已嵌入播放器的房地產(chǎn)網(wǎng)站提供惡意腳本，從而允許腳本竊取輸入進網(wǎng)站表單中的敏感信息，包括姓名、電子郵件地址、電話號碼和信用卡信息。這些竊取的信息最后會被發(fā)送回攻擊者控制的服務器，利用這些信息攻擊者可以發(fā)起下一次攻擊。

總的來說，攻擊過程主要有三個步驟：

• 檢查網(wǎng)頁加載是否完成并調(diào)用next函數(shù);
• 從 HTML 文檔中讀取客戶輸入信息并在保存之前調(diào)用數(shù)據(jù)驗證函數(shù);
• 通過創(chuàng)建HTML標記并使用服務器URL填充圖像源，將收集到的數(shù)據(jù)發(fā)送到 C2 (https://cdn-imgcloud[.]com/img)。

很明顯，使用傳統(tǒng)的域名和 URL 阻斷方法無法解決這一問題。因此，即便JavaScript 腳本來源是可信任的，也不意味著網(wǎng)站管理員就可以無條件將JavaScript 腳本嵌入網(wǎng)站中。相反，安全人員建議管理員應定期進行 Web 內(nèi)容完整性檢查并使用表單劫持檢測解決方案。

參考來源：

https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/