在近日發(fā)生的一件信息竊取事件中，Palo Alto Networks Unit42安全團隊發(fā)現，黑客正在通過云視頻平臺悄悄獲取用戶的信用卡信息。當安全人員發(fā)現這一攻擊行為時，黑客利用視頻播放器從100多個網站中獲取了大量的信用卡信息。

黑客的做法是，利用云視頻托管服務對百余家房地產網站進行供應鏈攻擊，注入惡意腳本竊取網站表單信息。

這些腳本被稱為表單劫持者，黑客會將它們注入網站以竊取輸入表單的敏感信息，常被用于竊取在線商店付款頁面的信息。

Unit42安全團隊認為這是一次新型的供應鏈攻擊，攻擊者竟然利用云視頻托管功能將瀏覽器代碼注入視頻播放器中，而當網站嵌入該播放器時，惡意腳本就會趁勢感染該網站。

在此次供應鏈攻擊事件中，Unit42安全團隊總共發(fā)現了 100 多個受此攻擊活動影響的房地產網站，這意味著攻擊非常成功。截止到目前，他們已經通知了云視頻平臺，并幫助感染網站進行了清理。

利用視頻播放器竊取信息

參與攻擊的云視頻平臺允許用戶創(chuàng)建JavaScript腳本來定義視頻播放器。這種播放器通常被嵌入在房地產網站中使用，且托管在遠程服務器上的靜態(tài)JavaScript文件。

Unit42安全團隊認為，攻擊者通過供應鏈攻擊訪問了上游JavaScript文件，并將其修改，在里面植入了一個惡意腳本。

當視頻播放器下一次更新時，就會向所有已嵌入播放器的房地產網站提供惡意腳本，從而允許腳本竊取輸入進網站表單中的敏感信息，包括姓名、電子郵件地址、電話號碼和信用卡信息。這些竊取的信息最后會被發(fā)送回攻擊者控制的服務器，利用這些信息攻擊者可以發(fā)起下一次攻擊。

總的來說，攻擊過程主要有三個步驟：

• 檢查網頁加載是否完成并調用next函數;
• 從 HTML 文檔中讀取客戶輸入信息并在保存之前調用數據驗證函數;
• 通過創(chuàng)建HTML標記并使用服務器URL填充圖像源，將收集到的數據發(fā)送到 C2 (https://cdn-imgcloud[.]com/img)。

很明顯，使用傳統的域名和 URL 阻斷方法無法解決這一問題。因此，即便JavaScript 腳本來源是可信任的，也不意味著網站管理員就可以無條件將JavaScript 腳本嵌入網站中。相反，安全人員建議管理員應定期進行 Web 內容完整性檢查并使用表單劫持檢測解決方案。

參考來源：

https://www.bleepingcomputer.com/news/security/hackers-use-video-player-to-steal-credit-cards-from-over-100-sites/