Tin tặc đã sử dụng một dịch vụ lưu trữ video đám mây để thực hiện một cuộc tấn công chuỗi cung ứng vào hơn 100 trang web bất động sản. Những kẻ này đã đưa vào các tập lệnh độc hại để lấy cắp thông tin được nhập vào các biểu mẫu trang web.
Những đoạn mã này được gọi là skimmers hoặc formjackers và thường được đưa vào các trang web bị tấn công để lấy cắp thông tin nhạy cảm được nhập vào biểu mẫu. Skimmers thường được sử dụng trên các trang thanh toán cho các cửa hàng trực tuyến để lấy cắp thông tin thanh toán.
Trong một cuộc tấn công chuỗi cung ứng mới do Palo Alto Networks Unit42 phát hiện, những kẻ đe dọa đã lạm dụng tính năng lưu trữ video trên đám mây để đưa mã skimmer vào trình phát video. Khi một trang web nhúng trình phát đó, nó sẽ nhúng tập lệnh độc hại, khiến trang web bị nhiễm.
Tấn công một lần, lây nhiễm hàng trăm
Nền tảng video đám mây tham gia vào cuộc tấn công cho phép người dùng tạo trình phát video bao gồm các tập lệnh JavaScript tùy chỉnh để tùy chỉnh trình phát.
Một trình phát video tùy chỉnh thường được nhúng trong các trang web bất động sản đã sử dụng tệp JavaScript tĩnh được lưu trữ tại một máy chủ từ xa.
Các nhà nghiên cứu của Unit42 tin rằng những tác nhân đe dọa đó đã có được quyền truy cập vào tệp JavaScript ngược dòng và sửa đổi nó để bao gồm một tập lệnh skimmer độc hại.
Trong bản cập nhật trình phát tiếp theo, trình phát video bắt đầu phân phát tập lệnh độc hại tới tất cả các trang web bất động sản đã nhúng trình phát, cho phép tập lệnh này ăn cắp thông tin nhạy cảm được nhập vào các biểu mẫu trang web.
Bản thân mã rất khó hiểu, do đó, nó không có khả năng gây ra bất kỳ nghi ngờ nào ngay từ cái nhìn đầu tiên hoặc bị bắt bởi các sản phẩm bảo mật không phức tạp.
Khi phân tích sâu hơn, Unit42 phát hiện ra rằng skimmer đánh cắp tên nạn nhân, địa chỉ email, số điện thoại và thông tin thẻ tín dụng. Thông tin bị đánh cắp này sau đó được gửi trở lại máy chủ do kẻ tấn công kiểm soát, nơi các tác nhân đe dọa có thể thu thập thông tin đó cho các cuộc tấn công tiếp theo.
Quy trình hoạt động của nó có thể được tóm tắt trong ba bước sau:
- Kiểm tra xem quá trình tải trang web đã xong chưa và gọi hàm tiếp theo.
- Đọc thông tin đầu vào của khách hàng từ tài liệu HTML và gọi hàm xác thực dữ liệu trước khi lưu.
- Gửi dữ liệu đã thu thập tới C2 (https: // cdn-imgcloud [.] Com / img) bằng cách tạo thẻ HTML và điền nguồn hình ảnh bằng URL máy chủ.
Palo Alto Networks đã xuất bản một danh sách đầy đủ các IoC (chỉ báo về sự thỏa hiệp) trên kho lưu trữ GitHub
Một mối đe dọa khó nắm bắt
Chiến dịch này triển khai skimmer đa hình và liên tục phát triển không thể ngừng sử dụng các phương pháp chặn URL và tên miền thông thường.
Quản trị viên trang web nhúng tập lệnh JavaScript trên trang web của họ không nên tin tưởng chúng một cách mù quáng, ngay cả khi nguồn đã được chứng minh là đáng tin cậy.
Thay vào đó, các quản trị viên nên tiến hành kiểm tra tính toàn vẹn của nội dung web thường xuyên và sử dụng các giải pháp phát hiện kích hoạt biểu mẫu.
Fanpage: Trí Việt JSC (Theo bleepingcomputer)