【守株待兔】播放器植入惡意編碼 過百物業網站引火自焚
Palo Alto Networks 網絡安全團隊 Unit42 最新發現一個供應鏈攻擊 (supply chain attack),有黑客利用一個雲端影像寄存平台的自定播放器漏洞,將被混淆化 (obfuscated) 的惡意編碼混入其中。不知情的用家如使用了這個播放器,便會將專門用於竊取信用卡資料的 card skimmer 惡意功能帶進網站,令客戶曝露於被盜用信用卡消費的風險之中。現時已有過百個物業網站已中招,可說是一次成功的供應鏈攻擊案例。
Card skimmer 是一種專門入侵網購網站,再於結帳頁面植入惡意編碼以盜取客戶信用卡資料的攻擊手法。多年來網絡犯罪集團一直使用不同手法將這種惡意功能混入各種網站之中,只要該網站的客戶填入個人私隱及信用卡資料,就會同時將這些資料送交黑客的 C&C 控制中心,由於中招網站在外貌上並無異樣,因此用家可說無法防備,只能靠店商能否阻止惡意功能入侵。
而最近 Palo Alto Networks 網絡安全團隊 Unit42 再次發現,有網絡犯罪集團將這種惡意功能暗中濫用一個雲端影像寄存平台可讓用家對播放器作自定義修改的功能,將惡意編碼加入其中,再靜待平台用家將這個播放器嵌入自家網站內,或已使用該播放器的系統進行更新,達成竊取信用卡資料的目的。專家解釋,一般網站防護工具主要依賴比對惡意域名或 URL 資料庫進行攔截,但由於犯罪集團使用了「乾淨」的域名進行惡意用途,再加上惡意編碼被混淆化,因此防護工具難以偵測這次攻擊。經團隊調查後,現階段發現至少有過百個物業網站已取用了這個惡意播放器,雖然團隊已協助他們清除惡意編碼,但早前客戶輸入的信用卡資料有可能已落入不法份子手上,相關資料包括姓名、電郵地址、電話及信用卡資料,受影響用家除了信用卡有可能被盜用,亦有可能遭受其他社交工程攻擊,造成龐大的損失。
有鑑於近年這類供應鏈攻擊的數量大增,安全團隊建議網站管理者在使用這些第三方服務時必須加倍小心,即使從有信譽的網站或平台取用該功能,也不能百分百完全信任,必須採用先進的網絡安全防護工具,以掌握最即時的安全風險指標,同時可持續偵測網站有否被加入 card skimmer 等惡意功能。另外,管理員亦必須定期檢查網站編碼有否被修改,時刻保持警覺。