黑客们正在从成千上万的网站收集支付信息和用户密码

2019-11-14 14:10:43

安全研究人员告诉ZDNET,黑客入侵了至少7个在线服务提供商的服务器,以在数以千计的网站上嵌入恶意代码。在本文发布时,攻击仍在进行,恶意脚本仍在运行。今天早些时候,乐观安全创始人Willem de Groot发现了最初的黑客攻击,并得到了其他几名安全研究人员的证实。

起初,de Groot在Alpaca Forms和Picreel的服务器上发现了恶意脚本,但RiskIQ的研究人员还在其他五种在线服务的服务器上发现了类似的脚本,例如AppLixir、RYVIU、OmniKick、eGain和AdMaxim。

目前,尚不清楚黑客是如何入侵这些公司的。在Twitter的一次谈话中,deGroot告诉ZDNet,黑客攻击似乎是由同一个威胁行为者实施的。

恶意代码记录所有内容用户进入表单字段并将信息发送到位于巴拿马的服务器。这包括用户在结帐/付款页面、联系人表单和登录部分输入的数据。

云CMS,该公司提供免费的CDN托管的妥协羊驼形式脚本,已干预,以摧毁整个CDN服务的污染羊驼形式脚本。该公司目前正在调查这一事件,并澄清“云CMS、其客户或其产品没有安全漏洞或安全问题”。目前,没有证据表明这一点,除非CloudCMS客户为他们自己的站点使用AlpacaForms脚本。

皮克雷也很幸运。RiskIQ说,添加到公司脚本中的恶意代码是错误的,恶意代码从未执行。当试图将恶意代码添加到OmniKick时,他们也犯了同样的错误。

EGAIN处于类似的情况,黑客修改了专门在EGAIN网站上加载的脚本之一,而不是嵌入在远程客户站点上的脚本。

在过去的两年里,像这样的袭击变得相当普遍。被称为供应链攻击的黑客组织已经意识到,破解高调网站并不像听起来那么简单,他们已经开始瞄准为这些网站提供“二级代码”的小型企业,以及其他数千家公司。

他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。

动机因组而异。例如,一些组织入侵第三方公司部署密码劫持脚本,而另一些团体则使用相同的技术部署专门代码,只窃取在支付表格中输入的数据。

今天的攻击是不同的,因为它是相当通用的,针对网站上的每个表单字段,不管目的是什么。

文章在5月31日更新了RISKIQ调查的结果。本文的初始版本仅列出了作为受影响服务的AlPaca表单和Pict卷轴。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。