第三方平台成攻击跳板

银行通常将重金投入核心金融系统防护，但此次事件揭示关键隐患：内部门户及第三方平台形成的"侧门漏洞"正成为攻击突破口。报告指出：员工福利商城常被排除在标准安全审计范围外，因而成为理想攻击目标。更严峻的是，员工行为放大了风险。
Sansec 警告：银行员工常在多系统复用工作账号，失窃密码可能为攻击者打开内部系统跳板。
Part02

高级攻击手法规避常规检测

本次攻击采用精密的两阶段加载器（two-stage loader）规避监测。

第一阶段 ：恶意脚本检测用户是否进入结算页面，若是则从 https://js-csp.com/getInjector/ 加载外部脚本； 

第二阶段 ：加载的组件会窃取页面所有表单字段数据，并通过图片信标（image beacon）技术外传——该手法将数据窃取伪装成普通图片请求，可绕过多数安全防护机制。

Part03

模式化攻击暴露行业系统性漏洞

此非事件并非独立事件。 Sansec 发现该攻击与既往行动存在明确关联，包括去年针对 Green Bay Packers 的入侵。研究人员证实：过去12个月中，这已是 Sansec 发现的第五起getInjector系列攻击，相关恶意域名包括artrabol.com、js-stats.com及js-tag.com等。

尤为值得企业警醒的是，常规安全工具完全失效：VirusTotal平台检测显示，发现时97家安全厂商中仅有1家识别出该恶意链接。报告总结道："万亿美元级的安全预算也难保万无一失"，企业亟需部署电商环境专用检测工具。此外，该银行未配置安全联络文件，导致研究人员"难以联系责任方通报漏洞"，进一步暴露应急机制缺陷。

参考来源：

Keylogger Found Harvesting Credentials on Top US Bank’s Employee Store

https://securityonline.info/keylogger-found-harvesting-credentials-on-top-us-banks-employee-store/

文章来源：FreeBuf