Cercetătorii de la compania de securitate a aplicațiilor Jscrambler tocmai au publicat un poveste de precauție despre atacurile lanțului de aprovizionare...
… acesta este, de asemenea, un memento puternic despre cât de lungi pot fi lanțurile de atac.
Din păcate, asta este mult timp doar în termeni de timp, nu mult în ceea ce privește complexitatea tehnică sau numărul de verigi din lanțul în sine.
Acum opt ani…
Versiunea la nivel înalt a poveștii publicate de cercetători este pur și simplu spusă și arată astfel:
- La începutul anilor 2010, o companie de analiză web numită Cockpit a oferit un serviciu gratuit de marketing și analiză web. Numeroase site-uri de comerț electronic au folosit acest serviciu prin aprovizionarea codului JavaScript de pe serverele Cockpit, încorporând astfel coduri terțe în propriile pagini web ca conținut de încredere.
- În decembrie 2014, Cockpit și-a oprit serviciul. Utilizatorii au fost avertizați că serviciul va fi offline și că orice cod JavaScript pe care l-au importat din Cockpit nu va mai funcționa.
- În noiembrie 2021, infractorii cibernetici au cumpărat vechiul nume de domeniu al Cockpit. Pentru ceea ce putem doar presupune că a fost un amestec de surpriză și încântare, escrocii se pare că au descoperit că cel puțin 40 de site-uri de comerț electronic încă nu și-au actualizat paginile web pentru a elimina orice link către Cockpit și încă sunau acasă și acceptau orice JavaScript. codul care era oferit.
Puteți vedea unde merge această poveste.
Orice foști utilizatori nefericiți de Cockpit care aparent nu și-au verificat corect jurnalele (sau poate chiar deloc) de la sfârșitul anului 2014 nu au observat că încă încercau să încarce cod care nu funcționa.
Bănuim că acele companii au observat că nu mai primeau date de analiză de la Cockpit, dar că, pentru că se așteptau ca fluxul de date să nu mai funcționeze, au presupus că sfârșitul datelor era sfârșitul preocupărilor lor de securitate cibernetică legate de la serviciu și la numele său de domeniu.
Injecție și supraveghere
Potrivit Jscrambler, escrocii care au preluat domeniul disparut și care au dobândit astfel o rută directă de a insera malware în orice pagină web care încă avea încredere și folosea acel domeniu reînviat...
…a început să facă exact asta, injectând JavaScript neautorizat și rău intenționat într-o gamă largă de site-uri de comerț electronic.
Acest lucru a permis două tipuri majore de atac:
- Introduceți cod JavaScript pentru a monitoriza conținutul câmpurilor de introducere pe pagini web predeterminate. Date în
input,selectșitextareacâmpurile (cum ar fi de așteptat într-un formular web tipic) au fost extrase, codificate și exfiltrate într-o serie de servere „apel acasă” operate de atacatori. - Introduceți câmpuri suplimentare în formularele web de pe paginile web selectate. Acest truc, cunoscut sub numele de Injecție HTML, înseamnă că escrocii pot submina paginile în care utilizatorii au deja încredere. În mod credibil, utilizatorii pot fi atrași să introducă date personale pe care acele pagini nu le-ar solicita în mod normal, cum ar fi parole, zile de naștere, numere de telefon sau detalii ale cardului de plată.
Cu această pereche de vectori de atac la dispoziția lor, escrocii ar putea nu numai să deducă orice ați introdus într-un formular web pe o pagină web compromisă, ci și să caute informații suplimentare de identificare personală (PII) pe care în mod normal nu le-ar putea fura.
Decizând ce cod JavaScript să fie difuzat pe baza identității serverului care a solicitat codul în primul rând, escrocii au putut să-și adapteze programele malware pentru a ataca diferite tipuri de site-uri de comerț electronic în moduri diferite.
Acest tip de răspuns personalizat, care este ușor de implementat uitându-ne la Referer: antetul trimis în solicitările HTTP generate de browserul dvs., îngreunează, de asemenea, cercetătorilor în domeniul securității cibernetice să determine întreaga gamă de „sarcini utile” de atac pe care infractorii le au în mânecă.
La urma urmei, cu excepția cazului în care cunoașteți dinainte lista exactă de servere și URL-uri pe care escrocii le caută pe serverele lor, nu veți putea genera solicitări HTTP care să dezlege toate variantele probabile ale atacului pe care infractorii le-au programat. în sistem.
În cazul în care vă întrebați, Referer: antetul, care este o ortografie greșită a cuvântului englez „referrer”, își trage numele dintr-o greșeală tipografică din internetul original standarde documentului.
Ce să fac?
- Examinați legăturile lanțului dvs. de aprovizionare bazate pe web. Oriunde vă bazați pe adrese URL furnizate de alte persoane pentru date sau coduri pe care le furnizați ca și cum ar fi propriul dvs., trebuie să verificați în mod regulat și frecvent dacă mai puteți avea încredere în ele. Nu așteptați ca proprii clienți să se plângă că „ceva pare stricat”. În primul rând, asta înseamnă că te bazezi în întregime pe măsuri reactive de securitate cibernetică. În al doilea rând, s-ar putea să nu existe nimic evident de observat și raportat de către clienții înșiși.
- Verificați-vă jurnalele. Dacă propriul dvs. site web folosește link-uri HTTP încorporate care nu mai funcționează, atunci ceva este în mod clar greșit. Fie nu ar fi trebuit să ai încredere în acel link înainte, pentru că a fost unul greșit, fie nu ar fi trebuit să mai ai încredere în el, pentru că nu se comportă ca înainte. Dacă nu vă veți verifica jurnalele, de ce să vă deranjați să le colectați în primul rând?
- Efectuați tranzacții de testare în mod regulat. Mențineți o procedură de testare regulată și frecventă, care trece în mod realist prin aceleași secvențe de tranzacții online pe care vă așteptați să le urmeze clienții și urmăriți îndeaproape toate cererile primite și trimise. Acest lucru vă va ajuta să identificați descărcări neașteptate (de exemplu, browserul dvs. de testare care absorb JavaScript necunoscut) și încărcări neașteptate (de exemplu, date care sunt exfiltrate din browserul de testare către destinații neobișnuite).
Dacă încă aprovizionați JavaScript de la un server care a fost retras în urmă cu opt ani, mai ales dacă îl utilizați într-un serviciu care gestionează informații personale sau date de plată, nu faci parte din soluție, faci parte din problemă …
…deci, te rog, nu fi acea persoană!
Notă pentru clienții Sophos. Domeniul web „revitalizat” folosit aici pentru injectarea JavaScript (web-cockpit DOT jp, dacă doriți să căutați propriile jurnale) este blocat de Sophos ca PROD_SPYWARE_AND_MALWARE și SEC_MALWARE_REPOSITORY. Acest lucru denotă faptul că domeniul este cunoscut nu numai că este asociat cu criminalitatea cibernetică legată de malware, ci și că este implicat în difuzarea activă a codului malware.
- blockchain
- Carlingă
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- e-commerce
- firewall
- Injecție HTML
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- intimitate
- skiming
- VPN
- securitatea site-ului
- zephyrnet
