Hackere brugte en cloud video-hosting-service til at udføre et hackerangreb på over hundrede ejendomsmægler hjemmesider, der efterlod malware scripts til at stjæle oplysninger indtastet på hjemmeside-formularer.
Scripts der er kendt som skimmers eller form jackers og er almindeligvis indført i hackede hjemmesider for at stjæle følsomme oplysninger, der bliver skrevet i formularer. Skimmers bruges ofte på betalingssider, så onlinebutikker stjæler betalingsoplysninger.
I et nyt angreb opdaget af Palo Alto Networks Unit42, har hackere misbrugt en cloud video-hosting-funktion til at indlægge en skimmerkode i en videoafspiller. Når et websted integrerer den pågældende afspiller, integrerer den det inficerede script, hvilket gør webstedet inficeret.
I alt fandt Unit42 over 100 ejendomsmægleres hjemmesider, der var kompromitteret af denne kampagne, hvilket var et meget vellykket hackerangreb.
Researchere anmeldte cloud video-platform og hjalp de inficerede websteder med at rydde op i deres sider, men denne kampagne er et eksempel på opfindsomhed og beslutsomhed hos hackere.
Hacking en gang, inficere hundredvis
Cloud video-platformen der var involveret i angrebet, giver brugerne mulighed for at oprette videoafspillere, der omfatter brugerdefinerede JavaScript til at tilpasse afspilleren.
En sådan tilpasset videoafspiller, der almindeligvis er indlejret i ejendomsmægler-websteder brugt en statisk JavaScript-fil hostet på en ekstern server.
Researchere fra Unit42 mener, at hackerne fået adgang til upstream JavaScript-fil og ændret det til at omfatte et hacker skimmer-script.
Videoafspilleren begyndte at tjene hackerens script til alle ejendomsmægler-websteder, der allerede havde spilleren indlejret, så scriptet begyndte at stjæle følsomme oplysninger indtastet i hjemmesidernes formularer.
Selve koden er meget korrumperet, så det er usandsynligt, at rejse nogen mistanke ved første øjekast eller opdage usofistikeret sikkerhedsprodukter.
Ved dybere analyse fandt Unit42, at skimmeren stjæler offernavne, e-mail-adresser, telefonnumre og kreditkortoplysninger. De stjålne oplysninger sendes derefter tilbage til en hacker-kontrolleret server, hvor truslen aktører kan indsamle det for yderligere angreb.
Dens operationelle proces kan opsummeres i følgende tre trin:
- Kontroller, om indlæsningen af websiden er udført, og kald den næste funktion.
- Læs kundeinputoplysninger fra HTML-dokumentet, og kald en datavaliderende funktion, før du gemmer dem.
- Send de indsamlede data til C2 (https://cdn-imgcloud[.] com/img) ved at oprette en HTML-kode og udfylde billedkilden med serverens URL-adresse.
Palo Alto Networks har offentliggjort en komplet liste over IOC’erne (indikatorer for kompromis).
En flygtig trussel
Kampagnen implementerer et polymorft og konstant udviklende skimmer, der ikke kan stoppes ved hjælp af konventionelle domænenavns- og URL-blokeringsmetoder.
Webstedsadministratorer, der integrerer JavaScript-scripts på deres hjemmesider, bør ikke stole blindt på dem, selvom kilden har vist sig at være troværdig.
I stedet rådes administratorer til at udføre regelmæssige kontrol af webindholdsintegritet og bruge registreringsløsninger til formularer.
Kilde: Bleeping Computer