Thông tin thẻ tín dụng từ hơn 100 trang web bị tin tặc đánh cắp thông qua trình phát video.
Palo Alto Networks Unit42 đã phát hiện cuộc tấn công chuỗi cung ứng nhắm vào hơn 100 website bất động sản, trong đó hacker đã sử dụng dịch vụ lưu trữ video đám mây để thực hiện tấn công.
Được gọi là skimmers hoặc formjackers, khi được đưa vào trang web, chúng sẽ lấy cắp thông tin được nhập vào biểu mẫu, thường là trang thanh toán trực tuyến để lấy cắp thông tin thanh toán như thẻ tín dụng, tên nạn nhân, email,…. Hacker đã đưa các tệp độc hại này vào trình phát video, khi trang web có nhúng trình phát đó thì trang web sẽ bị nhiễm.
Nền tảng lưu trữ video cho phép người dùng tạo trình phát bao gồm các tập lệnh JavaScript để tùy chỉnh trình phát, hacker lợi dụng điều này để sửa đổi và chèn thêm tập lệnh skimmer độc hại.
Trong bản cập nhật trình phát tiếp theo, trình phát video bắt đầu phân phát tập lệnh độc hại tới tất cả các trang web bất động sản đã nhúng trình phát, cho phép tập lệnh này ăn cắp thông tin nhạy cảm được nhập vào các biểu mẫu trang web.
Trong bị phân tích, Unit42 chỉ ra skimmer đánh cắp tên nạn nhân, địa chỉ email, số điện thoại và thông tin thẻ tín dụng. Thông tin bị đánh cắp này sau đó được gửi trở lại máy chủ của kẻ tấn công để thu thập cho các cuộc tấn công khác sau này.
Tóm tắt quá trình hoạt động của skimmer:
-
Kiểm tra xem quá trình tải trang web đã xong chưa và gọi hàm tiếp theo.
-
Đọc thông tin đầu vào của khách hàng từ tài liệu HTML và gọi hàm xác thực dữ liệu trước khi lưu.
-
Gửi dữ liệu đã thu thập tới C2 (https: // cdn-imgcloud [.] Com / img) bằng cách tạo thẻ HTML và điền nguồn hình ảnh bằng URL máy chủ.
Palo Alto Networks đã xuất bản một danh sách đầy đủ các IOC cũng được công bố trên kho lưu trữ github này