Pesquisadores da empresa de segurança de aplicativos Jscrambler acabam de publicar um conto preventivo sobre ataques à cadeia de suprimentos...
…que também é um lembrete poderoso de quão longas as cadeias de ataque podem ser.
Infelizmente, isso é longo apenas em termos de tempo, não muito em termos de complexidade técnica ou número de elos da própria cadeia.
Oito anos atrás…
A versão de alto nível da história publicada pelos pesquisadores é simplesmente contada, e é assim:
- No início de 2010, uma empresa de análise da web chamada Cockpit oferecia um serviço gratuito de análise e marketing na web. Vários sites de comércio eletrônico usaram esse serviço obtendo código JavaScript dos servidores do Cockpit, incorporando, assim, código de terceiros em suas próprias páginas da Web como conteúdo confiável.
- Em dezembro de 2014, a Cockpit encerrou seu serviço. Os usuários foram avisados de que o serviço ficaria offline e que qualquer código JavaScript importado do Cockpit pararia de funcionar.
- Em novembro de 2021, os cibercriminosos compraram o antigo nome de domínio do Cockpit. Para o que podemos supor ser uma mistura de surpresa e deleite, os bandidos aparentemente descobriram que pelo menos 40 sites de comércio eletrônico ainda não haviam atualizado suas páginas da Web para remover quaisquer links para o Cockpit e ainda estavam ligando para casa e aceitando qualquer JavaScript código que estava em oferta.
Você pode ver para onde essa história está indo.
Qualquer ex-usuário infeliz do Cockpit que aparentemente não havia verificado seus logs adequadamente (ou talvez até mesmo) desde o final de 2014 não percebeu que ainda estava tentando carregar o código que não estava funcionando.
Supomos que essas empresas perceberam que não estavam recebendo mais dados analíticos do Cockpit, mas como esperavam que o feed de dados parasse de funcionar, presumiram que o fim dos dados era o fim de suas preocupações de segurança cibernética relacionadas ao serviço e seu nome de domínio.
Injeção e vigilância
De acordo com Jscrambler, os bandidos que assumiram o controle do domínio extinto e, assim, adquiriram uma rota direta para inserir malware em qualquer página da Web que ainda confiasse e usasse esse domínio agora revivido…
…começou a fazer exatamente isso, injetando JavaScript malicioso não autorizado em uma ampla variedade de sites de comércio eletrônico.
Isso permitiu dois tipos principais de ataque:
- Insira o código JavaScript para monitorar o conteúdo dos campos de entrada em páginas da web predeterminadas. Dados em
input,selectetextareacampos (como seria de esperar em um formulário da Web típico) foi extraído, codificado e exfiltrado para uma variedade de servidores de "chamada doméstica" operados pelos invasores. - Insira campos adicionais em formulários da web em páginas da web selecionadas. Este truque, conhecido como Injeção de HTML, significa que os bandidos podem subverter páginas nas quais os usuários já confiam. Os usuários podem ser induzidos a inserir dados pessoais que essas páginas normalmente não solicitariam, como senhas, aniversários, números de telefone ou detalhes do cartão de pagamento.
Com esse par de vetores de ataque à sua disposição, os criminosos podem não apenas desviar tudo o que você digita em um formulário da Web em uma página da Web comprometida, mas também buscar informações adicionais de identificação pessoal (PII) que normalmente não seriam capazes de obter. roubar.
Ao decidir qual código JavaScript servir com base na identidade do servidor que solicitou o código em primeiro lugar, os criminosos foram capazes de adaptar seu malware para atacar diferentes tipos de sites de comércio eletrônico de maneiras diferentes.
Este tipo de resposta personalizada, que é fácil de implementar olhando para o Referer: O cabeçalho enviado nas solicitações HTTP geradas pelo seu navegador também torna difícil para os pesquisadores de segurança cibernética determinar toda a gama de “cargas úteis” de ataque que os criminosos têm nas mangas.
Afinal, a menos que você saiba com antecedência a lista precisa de servidores e URLs que os criminosos estão procurando em seus servidores, você não será capaz de gerar solicitações HTTP que liberem todas as variantes prováveis do ataque que os criminosos programaram. no sistema.
Caso você esteja se perguntando, o Referer: cabeçalho, que é um erro ortográfico da palavra inglesa “referrer”, recebe o nome de um erro tipográfico na internet original padrões documento.
O que fazer?
- Revise seus links da cadeia de suprimentos baseados na web. Em qualquer lugar em que você dependa de URLs fornecidos por outras pessoas para obter dados ou códigos que você exibe como se fossem seus, você precisa verificar regularmente e com frequência se ainda pode confiar neles. Não espere que seus próprios clientes reclamem que “algo parece quebrado”. Em primeiro lugar, isso significa que você está confiando inteiramente em medidas reativas de segurança cibernética. Em segundo lugar, pode não haver nada óbvio para os próprios clientes perceberem e relatarem.
- Verifique seus registros. Se o seu próprio site usa links HTTP incorporados que não estão mais funcionando, algo está claramente errado. Ou você não deveria ter confiado naquele link antes, porque era o errado, ou não deveria mais confiar nele, porque não está se comportando como antes. Se você não vai verificar seus logs, por que se preocupar em coletá-los?
- Realize transações de teste regularmente. Mantenha um procedimento de teste regular e frequente que passe realisticamente pelas mesmas sequências de transações on-line que você espera que seus clientes sigam e rastreie todas as solicitações recebidas e enviadas de perto. Isso o ajudará a identificar downloads inesperados (por exemplo, seu navegador de teste sugando JavaScript desconhecido) e uploads inesperados (por exemplo, dados sendo exfiltrados do navegador de teste para destinos incomuns).
Se você ainda está obtendo JavaScript de um servidor que foi desativado há oito anos, especialmente se o estiver usando em um serviço que lida com PII ou dados de pagamento, você não faz parte da solução, faz parte do problema …
…então, por favor, não seja essa pessoa!
Nota para clientes Sophos. O domínio da web “revitalizado” usado aqui para injeção de JavaScript (web-cockpit DOT jp, se você quiser pesquisar seus próprios logs) é bloqueado pela Sophos como PROD_SPYWARE_AND_MALWARE e SEC_MALWARE_REPOSITORY. Isso indica que o domínio é conhecido não apenas por estar associado à cibercriminalidade relacionada a malware, mas também por estar envolvido na exibição ativa de códigos de malware.
- blockchain
- Cabine do piloto
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- e-commerce,
- firewall
- Injeção de HTML
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- política de privacidade
- desnatação
- VPN
- a segurança do website
- zefirnet
