Hackers utilizan el reproductor de video para robar tarjetas de crédito

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos utilizaron un servicio de alojamiento de videos en la nube para realizar un ataque a la cadena de suministro en más de cien sitios inmobiliarios que inyectaban scripts maliciosos para robar información ingresada en formularios de sitios web.

Estos scripts se conocen como skimmers o formjackers y comúnmente se inyectan en sitios web pirateados para robar información confidencial ingresada en formularios. Los skimmers se utilizan comúnmente en las páginas de pago de las tiendas en línea para robar información de pago.

En un nuevo ataque a la cadena de suministro descubierto por Palo Alto Networks Unit42, los actores de amenazas abusaron de una función de alojamiento de videos en la nube para inyectar código skimmer en un reproductor de video. Cuando un sitio web incrusta ese reproductor, incrusta el script malicioso, lo que hace que el sitio se infecte.

En total, Unit42 encontró más de 100 sitios inmobiliarios comprometidos por esta campaña, mostrando un ataque a la cadena de suministro muy exitoso.

Los investigadores notificaron a la plataforma de video en la nube y ayudaron a los sitios infectados a limpiar sus páginas, pero esta campaña es un ejemplo del ingenio y la determinación de los adversarios.

Hackear una vez, infectando a cientos

La plataforma de video en la nube involucrada en el ataque permite a los usuarios crear reproductores de video que incluyen scripts JavaScript personalizados para personalizar el reproductor.

Uno de esos reproductores de video personalizados que se integran comúnmente en sitios inmobiliarios utilizaba un archivo JavaScript estático alojado en un servidor remoto.

Los investigadores de Unit42 creen que esos actores de amenazas obtuvieron acceso al archivo JavaScript ascendente y lo modificaron para incluir un script skimmer malicioso.

En la siguiente actualización del reproductor, el reproductor de video comenzó a enviar el script malicioso a todos los sitios inmobiliarios que ya tenían el reproductor incrustado, lo que permitió que el script robara información confidencial ingresada en los formularios del sitio web.

El código en sí está muy ofuscado, por lo que es poco probable que levante sospechas a primera vista o que los productos de seguridad no sofisticados lo atrapen.

Tras un análisis más profundo, Unit42 descubrió que el skimmer roba los nombres de las víctimas, direcciones de correo electrónico, números de teléfono e información de tarjetas de crédito. Esta información robada luego se envía de regreso a un servidor controlado por el atacante, donde los actores de la amenaza pueden recopilarla para futuros ataques.

Su proceso operativo se puede resumir en los siguientes tres pasos:

     - Compruebe si la carga de la página web está completa y llame a la siguiente función.

     - Lea la información de entrada del cliente del documento HTML y llame a una función de validación de datos antes de guardarla.

     - Envíe los datos recopilados al C2 (https: // cdn-imgcloud [.] Com / img) creando una etiqueta HTML y completando la fuente de la imagen con la URL del servidor.

Palo Alto Networks ha publicado una lista completa de los IoC (indicadores de compromiso) en este repositorio de GitHub:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una amenaza esquiva

Esta campaña despliega un skimmer polimórfico y en continua evolución que no se puede detener utilizando métodos convencionales de bloqueo de nombres de dominio y URL.

Los administradores de sitios web que incorporan scripts JavaScript en sus sitios no deben confiar ciegamente en ellos, incluso si se ha demostrado que la fuente es confiable.

En su lugar, se recomienda a los administradores que realicen comprobaciones periódicas de la integridad del contenido web y utilicen soluciones de detección de robo de formularios.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta