Hackers χρησιμοποίησαν μια cloud video hosting υπηρεσία για να πραγματοποιήσουν μια supply chain επίθεση σε περισσότερα από εκατό real estate sites, εισάγοντας κακόβουλα scripts για να κλέψουν πληροφορίες πιστωτικών καρτών.
Αυτά τα scripts είναι γνωστά ως skimmers ή formjackers και συνήθως εισάγονται σε ιστότοπους που έχουν παραβιαστεί, για να κλέψουν ευαίσθητες πληροφορίες. Τα skimmers χρησιμοποιούνται συνήθως στις σελίδες ολοκλήρωσης αγοράς, σε ηλεκτρονικά καταστήματα, για την κλοπή πληροφοριών πληρωμής.
Δείτε επίσης: Κακόβουλο Telegram installer εγκαθιστά το Purple Fox malware σε μολυσμένα μηχανήματα
Στη νέα επίθεση, που ανακάλυψαν ερευνητές της Palo Alto Networks Unit42, οι hackers έκαναν κατάχρηση ενός cloud video hosting feature, για να εισάγουν κώδικα skimmer σε ένα πρόγραμμα αναπαραγωγής βίντεο. Όταν ένα site χρησιμοποιεί αυτό το πρόγραμμα αναπαραγωγής, χρησιμοποιεί και το κακόβουλο script, με αποτέλεσμα να γίνεται μόλυνση του site.
Οι ερευνητές βρήκαν πάνω από 100 real estate sites που παραβιάστηκαν στα πλαίσια αυτής της hacking εκστρατείας.
Οι ερευνητές ειδοποίησαν την cloud video πλατφόρμα και βοήθησαν τα μολυσμένα sites να “καθαρίσουν” τις σελίδες τους. Ωστόσο, αυτή η καμπάνια αποτελεί αντιπροσωπευτικό παράδειγμα της ευρηματικότητας και της αποφασιστικότητας των εγκληματιών του κυβερνοχώρου.
Με μια μόνο παραβίαση, έγιναν εκατοντάδες μολύνσεις
Η cloud video πλατφόρμα, που χρησιμοποιήθηκε από τους hackers, επιτρέπει στους χρήστες να δημιουργούν προγράμματα αναπαραγωγής βίντεο που περιλαμβάνουν custom JavaScript scripts, για να προσαρμόσουν το πρόγραμμα αναπαραγωγής.
Ένα τέτοιο customized video player που είναι συνήθως ενσωματωμένο σε real estate sites, χρησιμοποίησε ένα static JavaScript file, που φιλοξενούνταν σε έναν απομακρυσμένο διακομιστή.
Δείτε επίσης: Broward Health: Παραβίαση δεδομένων επηρεάζει 1,3 εκατομμύρια άτομα
Οι ερευνητές του Unit42 πιστεύουν ότι οι επιτιθέμενοι απέκτησαν πρόσβαση στο upstream JavaScript file και το τροποποίησαν ώστε να συμπεριλάβει ένα κακόβουλο skimmer script.
Στην επόμενη ενημέρωση του προγράμματος αναπαραγωγής, το video player άρχισε να προβάλλει το κακόβουλο script σε όλα τα real estate sites που είχαν ήδη ενσωματωμένο το πρόγραμμα αναπαραγωγής. Έτσι, το script μπορούσε να κλέβει ευαίσθητες πληροφορίες που εισάγονται σε φόρμες ιστότοπου.
Ο ίδιος ο κώδικας είναι πολύ obfuscated. Αυτό καθιστά δύσκολο τον εντοπισμό του από μη εξελιγμένα εργαλεία ασφαλείας.
Οι ερευνητές ανακάλυψαν ότι το skimmer κλέβει ονόματα θυμάτων, διευθύνσεις email, αριθμούς τηλεφώνου και πληροφορίες πιστωτικών καρτών. Αυτές οι κλεμμένες πληροφορίες στη συνέχεια αποστέλλονται σε έναν διακομιστή που ελέγχεται από τους εισβολείς. Οι hackers μπορούν να χρησιμοποιήσουν τα κλεμμένα στοιχεία για την πραγματοποίηση άλλων επιθέσεων.
Δείτε επίσης: Η ransomware συμμορία Lapsus$ “χτύπησε” την media εταιρεία Impresa
Η Palo Alto Networks δημοσίευσε μια πλήρη λίστα με τα IoC (δείκτες παραβίασης) σε αυτό το GitHub repository.
Μια νέα σημαντική απειλή
Αυτή η hacking εκστρατεία, που καταχράται μια cloud video hosting υπηρεσία για να κλέψει στοιχεία πιστωτικών καρτών, χρησιμοποιεί ένα “πολυμορφικό” και συνεχώς εξελισσόμενο skimmer που δεν μπορεί να αντιμετωπιστεί με συμβατικές μεθόδους αποκλεισμού domain name και διευθύνσεων URL.
Οι διαχειριστές websites που ενσωματώνουν JavaScript scripts στα sites τους, πρέπει να είναι προσεκτικοί, ακόμη κι αν η πηγή θεωρείται αξιόπιστη.
Πηγή: Bleeping Computer