美国三大银行之一的员工商品商店因1款键盘记录器，泄露大量客户信息

这个键盘记录器，它作为恶意软件，虽然这个美国银行网站服务超20万名员工，用于订购企业定制商品，但是这个恶意软件，它可以窃取表单中登录凭证、银行卡号及个人信息。

这个恶意软件泄露的数据，造成的危害很大。

这个恶意软件它采用两阶段加载机制，通过字符编码混淆规避静态分析，借助图片信标技术外传数据以绕过防护。

该威胁仅被Sansec检测到，暴露通用安全工具盲区，且涉事银行未公开security.txt致漏洞上报受阻，专家建议将员工商店纳入安全审计，部署专用工具防护客户端脚本攻击。


这种违规行为令人担忧，因为银行员工经常重复使用公司凭据。窃取的密码可能为攻击者提供进入内部银行系统的立足点。

员工商店经常不在标准安全审计的范围之内，这使它们成为诱人的目标。

我们立即通过电子邮件和Linkedin通知了银行。

然而，这家银行不通过行业标准的security.txt文件发布安全联系信息，这使得与合适的人联系变得不必要的困难。




安全研究人员给出的修复建议是:

运营员工商店或内部电子商务平台的组织应该:

拦截攻击:使用Sansec Shield实时拦截攻击企图和恶意注入

扫描危害:运行eComscan来检测电子商务平台上的skimmers、后门和漏洞

监控客户端脚本:使用Sansec Watch检测未授权的JavaScript，限制客户端攻击的影响

在安全审计中包括内部站点:员工商店处理支付数据和公司凭证

发布security.txt:让研究人员更容易负责任地报告漏洞