对通过云视频托管服务部署的数百个房地产网站进行网络浏览攻击

攻击者利用软件供应链破坏高流量站点

研究人员警告说，网络浏览攻击通过基于云的视频托管服务针对数百个房地产网站。

一个博客帖子从单元42，帕洛阿尔托网络的研究机构，发现攻击者是如何使用该服务，开展供应链攻击注入卡略读恶意软件到受害者的网站。

当恶意脚本被注入站点以窃取输入到 Web 表单中的信息时，就会发生 Web 浏览攻击。

例如，在线预订表格可能会要求提供网站用户的个人详细信息和付款信息。如果该站点容易受到浏览攻击，恶意行为者就可以拦截数据。

Unit 42 的博客文章写道：“最近，我们发现了供应链攻击，利用云视频平台分发撇渣器（又名‘formjacking’）活动。

“就此处描述的攻击而言，攻击者将截取器 JavaScript 代码注入视频中，因此每当其他人导入视频时，他们的网站也会嵌入截取器代码。”

研究人员详细说明了浏览器如何感染网站，并解释说当云平台用户创建视频播放器时，允许用户通过上传要包含在其播放器中的 .js 文件来添加自己的JavaScript定制。

在这个特定的例子中，用户上传了一个脚本，该脚本可以被上游修改以包含恶意内容。

该帖子写道：“我们推断攻击者通过附加撇渣器代码更改了其托管位置的静态脚本。在下一次播放器更新时，视频平台重新提取受感染的文件并将其与受影响的播放器一起提供。

“从代码分析中，我们知道撇渣器片段试图收集受害者的敏感信息，例如姓名、电子邮件、电话号码，并将其发送到收集服务器 https://cdn-imgcloud[.]com/img，这在 VirusTotal 中也被标记为恶意。”

关闭后门

有问题的网站都归同一家母公司所有，该母公司尚未命名。

Unit 42 研究人员表示，他们已通知该组织并帮助他们删除了恶意软件。

Comforte AG 的产品经理 Trevor Morgan 评论说：“随着这些类型的攻击在复杂性和智能性方面不断发展，企业需要继续关注基础：制定一种防御策略，不仅仅包含基于边界的安全性，不要假设基于云的服务在没有适当尽职调查的情况下本质上是安全的，并优先考虑新兴的以数据为中心的安全方法，例如标记化和格式保留加密，这些方法可以直接对威胁行为者所追求的敏感数据应用保护。

“一旦数据进入您的企业工作流程就对其进行标记，这意味着业务应用程序和用户可以在受保护的状态下继续使用该信息，但更重要的是，如果错误的人无意中或通过像这样的协同攻击获得了它，敏感信息仍然模糊不清，因此威胁行为者无法利用它谋取利益。”