早在2020年秋天,威胁参与者就开始大规模利用不再维护的Magento 1软件分支中的漏洞。结果,数千家电子商务商店遭到破坏,其中许多商店被注入了信用卡密码。

在监控与Magento 1活动相关的活动时,我们发现一家电子商务商店曾两次成为掠食者的目标。这本身并不罕见,同一部位的多重感染很常见。

然而,这次的情况不同。这些威胁行为者设计了一个版本的脚本,该脚本可以识别已经注入了Magento 1扫描器的网站。第二个略读者将简单地从先前攻击者注入的已经存在的虚假表单中获取信用卡信息。

在我们在这篇文章中描述的事件中,威胁行为者还考虑到电子商务网站可能会被Magento 1黑客清除。当这种情况发生时,他们的另一个版本的撇码器会注入自己的字段,模仿合法的支付平台。

集体Magento 1号感染

线上购物1临终加上一个很受欢迎的漏洞对威胁行动者来说是巨大的恩惠. 大量网站因为易受攻击而遭到不加区别的黑客攻击。

风险智商归因于这些事件发生在Magecart Group 12上,该集团使用各种技术进行网页浏览已有很长的历史,包括供应链攻击

图1:在Magento 1站点中注入的代码

这个略读器相当长,包含各种程度的混淆,使调试它更具挑战性. 虽然有变化,格式和诱饵支付形式是非常相同的。

盗贼中没有荣誉

Costway是一家零售商,开始通过亚马逊等平台销售自己的名牌产品,后来推出了costway.com和随后的本地化在线商店。他们的法语门户网站(costway[.]fr)很受欢迎去年12月有18万游客

我们的爬虫程序发现,运行Magento 1软件的Costway法国、英国、德国和西班牙的网站在同一时间段内遭到破坏。

我们可以在costway[.]fr的结账页面上直接看到信用卡撇取器注入,因为它以英语突出,而网站的其余部分则以法语突出。这并不奇怪,因为Magento 1黑客攻击活动是自动化的,而且不分青红皂白。

图2:Costway网站已经被Magento 1黑客入侵

但更有趣的是,网站上还存在另一个略读器(从securityxx[.]top外部加载),目标是Magento 1略读器。

威胁行为者对电子商务网站的访问级别可能有所不同。前者利用了授予root访问权限的核心漏洞,而后者可能只能执行特定类型的注入。如果是这样的话,这就解释了为什么他们只是简单地离开假表单,从它那里获取凭证。

这里还有一个额外的转折点,犯罪分子还计划在Magento 1注入后清理电子商务站点。

图3:Costway网站被Magento 1黑客清除,但使用了外部撇码器

控件创建自己的表单字段,这些字段与合法的字段非常相似Adyen支付平台Costway使用。从视觉上看,只有非常小的样式更改(字体大小)才会暴露它,但在内部还有更重要的含义。

图4:ExternalSkimmer模仿Adyen支付表单

Adyen使用他们的专有技术加密表单字段。威胁演员想要重现与Adyen相同的外观和感觉,但能够以自己的方式获取信用卡信息。

总而言之,从受害者的角度来看,当他们进入结帐页面时,会加载3个不同的略读器。

  1. Magento 1 hack skimmer直接注入结帐页面
  2. 自定义skimmer (securityxx[.]top/security.js),窃取Magento 1 skimmer
  3. 自定义skimmer (securityxx[.]top/costway.js)更改合法支付iframe
图5:显示所有3个skimmers的Web流量

前撇渣器

正如本报告所记录的,至少在2020年12月底,同样的威胁参与者已经在忙着开发Costway的compomiseurlscanio爬. 他们使用自定义域costway[.]top来托管代码。

图6:最早记录的通过自定义域的妥协实例

域costway[.]top与我们以前遇到的一个家庭有关。它们使用的略读代码、命名约定甚至基础设施都有重叠。

图7:显示以前连接的关系图

目前,这个小组相当活跃,并继续使用我们几个月前看到的相同技术。

争夺资源

大量的Magento 1网站被黑客入侵,但并不一定被货币化。其他想要访问的威胁参与者无疑会试图注入自己的恶意代码。当这种情况发生时,我们看到罪犯试图获取同样的资源,有时互相争斗

我们在调查期间通知了Costway,但也目睹了他们的网站再次受到感染。costway[.]top域被放弃,取而代之的是securityxx[.]top,其中威胁参与者专门为他们定制了略读器。

在撰写本文时,costway[.]fr仍然受到威胁,但由于我们的必威平台APP浏览器保护扩展和一般的网络保护在我们软件

我们要感谢乔丹·赫尔曼风险智商与我们分享其他指标。

妥协指标(IOCs)

securityxx[.]顶部
costway[.]顶部
hdpopulation。com
cdnanalyze。com
hdenvironement。com
crazyvaps。信息
cdnchecker。org
cdnoptimize[.]com
hdanalyse。com
cdnapis[.]组织
云cookiepro(。)
cdndoubleclick[.]净

149[.]248[.]7[.]219
95[179年][]142 []28
45[.]76[.]75[.]35
136[244年][]110[105年]
149[.]248[.]0[.]74
149[.]28[.]64[.]156
95[179年][]139 []29
209[250年][]246[214年]