Player de vídeo é usado para aplicar golpes em mais de 100 sites

Um novo ataque à cadeia de suprimentos levou à contaminação de mais de 100 sites do setor imobiliário a partir de um player de vídeo. O resultado foi o uso de scripts maliciosos que roubavam as informações inseridas em formulários disponíveis nas páginas, gerando o comprometimento dos dados de clientes das empresas de imóveis sem que, necessariamente, seu ambiente fosse diretamente atingido.

• AMD vai usar chip de segurança da Microsoft em novos notebooks
• Essas são as ameaças digitais que devem ganhar mais destaque em 2022

Em vez disso, o alvo foi uma plataforma de hospedagem de vídeos na nuvem, de forma que o código malicioso surgisse em todas as páginas que tivessem incorporado o player de vídeo. A partir de programação em JavaScript, comprometendo o ambiente do próprio reprodutor, foi possível inserir um tipo de script conhecido como skimmer, de forma altamente oculta, mas capaz de agir na interceptação de dados inseridos pelos clientes das imobiliárias em formulários de cadastros e propostas.

Sendo assim, o potencial é para obtenção de informações altamente pessoais, com a Unit42, braço de segurança da empresa de tecnologia Palo Alto Networks, falando no comprometimento de nomes completos, telefones, e-mails e cartões de crédito. Todo o volume era enviado a servidores sob o controle dos criminosos, para que pudessem ser utilizados em ataques futuros.

Os mecanismos de ofuscação chamaram a atenção dos especialistas, que apontaram o fato de o skimmer ser capaz de ultrapassar métodos de bloqueio de URLs e scripts maliciosos que costumam estar presentes em navegadores e soluções de segurança. Enquanto indicadores de comprometimento existem e poderiam revelar a existência do código — a lista deles foi publicada pela Unit42 —, apenas uma checagem de integridade poderia revelar a persistência da solução nas páginas das imobiliárias.

Ao descobrirem a exploração, os pesquisadores em segurança informaram a desenvolvedora do player e também os sites infectados, os auxiliando a resolver os problemas e limpar as páginas. A todos, a Unit42 recomenda cautela mesmo no uso de soluções reconhecidas e confiáveis, assim como na ativação de recursos em JavaScript em sites e sistemas que lidem com dados sensíveis de colaboradores, usuários e clientes.

O uso de soluções de segurança ajuda a combater práticas desse tipo, enquanto a atenção ao código que está sendo rodado na página também funciona bem para detectar qualquer elemento estranho. Às empresas que fornecem soluções e sistemas desse tipo, também é importante atentar aos golpes envolvendo phishing, que podem servir como vetor para entrada nas redes e acesso à cadeia de suprimentos.

Fonte: Unit42