Bulut Video Barındırma Hizmeti Aracılığıyla Dağıtılan Yüzlerce Emlak Web Sitesine Web Skimming Saldırıları
Saldırganlar, yüksek trafikli sitelerden ödün vermek için yazılım tedarik zincirinden yararlanıyor.
Araştırmacılar, web tarama saldırılarının bulut tabanlı bir video barındırma hizmeti aracılığıyla yüzlerce emlak web sitesini hedef aldığı konusunda uyardı.
Palo Alto Networks'ün araştırma kolu olan Unit 42'den bir blog yazısı, saldırganların, kurban sitelerine kart gözden geçirme kötü amaçlı yazılımını enjekte etmek için bir tedarik zinciri saldırısı gerçekleştirmek için hizmeti nasıl kullandığını ortaya koydu.
Web formlarına girilen bilgileri çalmak için sitelere kötü amaçlı komut dosyası enjekte edildiğinde web kayması saldırıları meydana gelir.
Örneğin, bir çevrimiçi rezervasyon formu, bir web sitesi kullanıcısının kişisel bilgilerini ve ödeme bilgilerini isteyebilir. Bu site, gözden geçirme saldırılarına karşı savunmasız olsaydı, kötü niyetli aktörler verilere müdahale edebilirdi.
Unit 42 blog yazısında şunlar yazıyor: “Yakın zamanda, web skimmer (diğer bir deyişle 'formjacking') kampanyalarını dağıtmak için bir bulut video platformundan yararlanan bir tedarik zinciri saldırısı bulduk.
"Burada açıklanan saldırılar söz konusu olduğunda, saldırgan videoya skimmer JavaScript kodlarını enjekte etti, böylece başkaları videoyu içe aktardığında, web siteleri de skimmer kodlarıyla gömülüyor."
Araştırmacılar, skimmer'ın web sitelerine nasıl bulaştığını ayrıntılı olarak açıkladı ve bulut platformu kullanıcısı bir video oynatıcı oluşturduğunda, kullanıcının oynatıcılarına dahil edilecek bir .js dosyası yükleyerek kendi JavaScript özelleştirmelerini eklemesine izin verildiğini açıkladı.
Bu özel durumda, kullanıcı, kötü amaçlı içerik içerecek şekilde yukarı yönde değiştirilebilecek bir komut dosyası yükledi.
Gönderide şöyle yazıyor: “ Saldırganın statik komut dosyasını barındırılan konumunda skimmer kodu ekleyerek değiştirdiği sonucuna varıyoruz. Bir sonraki oynatıcı güncellemesinde video platformu, güvenliği ihlal edilmiş dosyayı yeniden aldı ve etkilenen oynatıcıyla birlikte sundu.
“Kod analizinden, skimmer snippet'in kurbanların adları, e-postaları, telefon numaraları gibi hassas bilgilerini toplamaya ve bunları bir toplama sunucusuna göndermeye çalıştığını biliyoruz, https://cdn-imgcloud[.]com/img, bu da VirusTotal'da kötü amaçlı olarak işaretlenmiştir."
Arka kapıyı kapatmak
Söz konusu web sitelerinin tümü, adı belirtilmeyen aynı ana şirkete aitti.
42. birim araştırmacıları, kuruluşu bilgilendirdiklerini ve kötü amaçlı yazılımı kaldırmalarına yardımcı olduklarını söyledi.
Blog gönderisi , skimmer'ın nasıl çalıştığı hakkında daha fazla teknik bilgi içerir.
Comforte AG'nin ürün müdürü Trevor Morgan şu yorumu yaptı: "Bu tür saldırılar gelişmişlik ve akıllılık açısından gelişmeye devam ederken, işletmelerin temellere odaklanması gerekiyor: sadece çevre tabanlı güvenlikten fazlasını içeren bir savunma stratejisi geliştirin. Bulut tabanlı hizmetlerin uygun durum tespiti olmaksızın doğal olarak güvenli olduğunu varsayın ve tehdit aktörlerinin peşinde olduğu hassas verilere doğrudan koruma uygulayabilen belirteçleştirme ve format koruyucu şifreleme gibi yeni ortaya çıkan veri merkezli güvenlik yöntemlerine öncelik verin.
“Verileri kurumsal iş akışlarınıza girer girmez tokenize etmek, iş uygulamalarının ve kullanıcılarının bu bilgilerle korumalı bir durumda çalışmaya devam edebilecekleri anlamına gelir, ancak daha da önemlisi, yanlışlıkla veya bunun gibi koordineli saldırılar yoluyla yanlış kişiler tarafından ele geçirilirse -hassas bilgiler-, tehdit aktörlerinin kazanç için bundan yararlanamaması için gizlenmiş halde kalır.”
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.