每天,新的电子商务网站都落入了许多Magecart Skimmers的手中。犯罪分子是不知值的,犯罪分子正在收集他们的个人信息,包括在线相当于ATM卡撇渣的付款细节。

最常经常在JavaScript中编写的浏览器代码和混淆 - 在攻击者控制的基础架构上托管。随着时间的推移,他们创造了数千个模仿Magento的域名,这是最多目标的CMS平台。

但是,正如我们有时会看到的那样其他类型的妥协,威胁演员还可以滥用合法提供者的资源,例如代码存储库GitHub,由微软收购去年。

这个最新的Skimmer是一块由用户上传到Github的十六进制编码的javascript代码momo33333.,谁发生了,刚刚加入了那一天的平台。

在上面和以下截图中,您可以看到威胁演员在完成几次测试后,威胁演员正在微调撇渣器:

就像任何其他类型的第三方插件一样,受到影响的Magento站点正在在其源代码中加载此脚本,就在CData脚本之后和/或右侧标记:

根据A.搜索在URLSCAN.IO上,目前有200多个网站已注入此撇渣器:

查看deobfuscated脚本显示exfiltration域(jquerylol [。] ru)盗窃数据将被发送至:

值得注意的是,即使Github托管的撇渣器被删除,遭到受损的Magento网站将保持风险。实际上,攻击者可以轻松地以与最初注入第一个的方式相同的方式重新感染它们。

电子商务站点所有者对其CMS及其插件保持最新,以及使用安全身份验证方法至关重要。在过去的一年中,我们已经确定了数千个被黑客攻击并对网上购物者产生风险的网站。

我们报告了迅速取下的欺诈性GitHub账户。我们还通过阻止exfiltration域来保护用户。