犯罪分子继续以网上商店为目标,快速地从不知情的顾客那里窃取支付细节。有很多不同的方法可以解决这个问题,从入侵购物网站本身,到损害其供应链。
许多在线商家出于各种原因将支付过程外部化给支付服务提供商(PSP),其中包括确保交易安全处理。由于一些商店不会在自己的网站上处理支付,人们可能会认为,即使他们被入侵,攻击者也无法窃取客户的信用卡数据。
但这并不总是正确的。Riskiq以前详述Magecart的Group 4是如何使用覆盖技术,在页面上搜索活跃的支付形式,并将其替换为一个准备的略读。
我们今天看到的这个添加了一个虚假iframe,要求毫无戒备的客户输入他们的信用卡信息。讽刺的是,购物网站本身甚至不会要求它,因为访问者通常被重定向到外部PSP。
Skimmer注入了自己的信用卡字段
小型和大型在线零售商必须遵守安全要求支付卡行业数据安全(PCI-DSS)远远超出使用SSL的付款表格。未能这样做可以导致大罚款甚至取消他们的账户。
最受欢迎的电子商务平台之一,Magento,可以帮助商家PCI兼容通过它洋养碟商务云产品或集成的付款网关和托管形式无敏感数据流过或存储在Magento Application Server本身上。
在我们的一个Web爬网中,我们从Magento网站发现了可疑的活动,并决定进一步调查。以下图像描绘了基于同一平台的两个略微不同的签出页面,其中右侧是我们所识别的可疑站点。
我们注意到的是输入信用卡数据的新字段,其中左侧没有存在(无级表格)。自本,这可能不会超出平凡,因为在线商家使用此类表格(包括IFRame)作为其结帐页面的一部分。
但是有一些只是在这里没有加起来的东西。例如,在信用卡字段下方是表示的文本,“然后当你下订单时,你将被重定向到PayuCheckout网站。“为什么商家希望让他们的客户再次输入他们的信用卡并损害他们的转换率?
事实上,毫无戒心的购物者会被带到另一个合法的时间付款表格,重新输入他们的信用卡信息。如果你必须输入两次信息,这应该是一个直接的危险信号。这是我们通常在钓鱼网站上看到的场景。
在这一点上,我们知道这个电子商务网站是又一个受害者落入Magecart集团的手中。在下一节中,我们将了解这种攻击是如何工作的。
一个三步的过滤过程
Magento网站已被黑客和恶意代码注入其所有页面。但是,我们将要查看的最重要的是实际的结账页面。
骗子首先加载自己的无害iframe以收集信用卡数据,然后在被灭绝之前验证。
正如我们提到的,注入代码存在于该站点的所有PHP页面中,但只有当地址栏中的当前URL是购物车结账页面时才会触发它(在切割).在继续之前,还要执行一些额外的检查(屏幕尺寸和web调试器的存在)。
如果满足正确的条件,则会加载外部的JavaScript骗人的人[。] com,在域名注册reg.ru llc注册的域名,并在俄罗斯托管。
值得注意的是,在没有正确引用的情况下直接浏览这个URL(被黑客入侵的Magento网站之一)会返回一个诱饵脚本。完整的脚本在很大程度上是模糊的,它创建了我们在上面看到的用于在屏幕上的正确位置获取信用卡信息的框架框。
它还加载了另一个长时间又一次的混淆脚本([hackedsite] _iframe.js),“hackedsite”是被黑客攻击的电子商务网站的名称。它的工作是处理、验证并过滤用户数据。
该数据通过自定义编码格式通过POST请求发送到同一恶意域。
掠食者和攻击的多样性
这种特殊的撇渣器随着时间的推移而略微演变,并不总是用于流氓Iframe技术。归档在Urlscan.io上归档的历史扫描显示一些混淆的变化十六进制编码阵列来字符串操作使用分割和连接方法。
犯罪分子有很多不同的方法来盗取网上购物者的数据。虽然供应链攻击是最具破坏性的,因为它们通常会影响更多的商店,但它们也更难以实现。
通过自动攻击损害弱势电子商务网站是最常见的方法。一旦将撇渣器注入付款页面,它可以窃取输入的任何数据,并立即将其发送到骗子。正如我们在本文中所见的那样,当攻击者将先前的不存在信用卡字段注入结账页面时,甚至不会收集支付数据本身的电子商务网站也会受到影响。
对于网上购物者来说,这种伎俩很难及早发现,也许只有在再次提示他们提供同样的信息后,他们才会产生怀疑。
虽然对电子商务网站进行补救以防止进一步的盗窃是很重要的,但我们知道这个过程可能会因为这样或那样的原因而延迟。这就是为什么我们专注于出口,以保护我们的客户,在他们碰巧在一个折中商店购物。
进一步的阅读
妥协指标(IoCs)
骗人的人[。] com
133年82.146.50(。)
top5value。com
250年212.109.222(。)
voodoo4tactical。com
249年212.109.222(。)
评论