这个博客帖子是JérômeSegura撰写的
Web Skimming仍然是对在线商家和购物者的真实而有影响力的威胁。这个空间中的威胁演员大大范围从业余爱好者一直到像拉撒路这样的国家群体。
在安全性方面,许多电子商务商店仍然易受攻击,因为他们没有升级他们的内容管理软件(CMS)。我们今天正在寻找的活动是关于一些由一个非常活跃的撇渣器组遭到损害的Magento 1网站。
我们认为,Magecart集团12被确定为蒙托地落后于最后秋天的黑客狂欢,继续分发安全研究人员观察到的新恶意软件。已知Smilodon或Megalodon的这些网壳用于通过服务器端请求动态加载JavaScript Skimming码,进入在线商店。这种技术很有趣,因为大多数客户端安全工具无法检测到撇渣器。
Web shell隐藏为favicon
在执行Magento 1个网站的爬网时,我们检测到一块伪装为Favicon的新恶意软件。名为magento.png的文件尝试将自己传递为“image / png”,但没有有效图像文件的正确的PNG格式。
注入受损站点的方式是通过将合法的快捷方式图标标签替换为假PNG文件的路径。与以前的事件不同假冒favicon映像用来隐藏恶意javascript代码,这结果是php web shell。但是,在其当前实现中,不会正确加载PHP脚本。
Web Shell是一种非常流行的恶意软件,遇到允许攻击者维护远程访问和管理的网站。它们通常在利用漏洞(即SQL注入)后上传到Web服务器上。
为了更好地理解这个网站谢尔是什么,我们可以解码反向Base64编码的模块。我们看到它从Zolo [。] PW处的外部主机中检索数据。
进一步调查m1_2021_Force目录揭示了额外的代码,非常特定于信用卡撇渣。
Data Exfiltration部分匹配三月在WordPress网站上找到的研究员@unmaskparasites(Smilodon Malware)这也窃取了用户凭据:
类似的PHP文件(MAGE.php)是报道由Sansec也是:
之前的路径/文件名是此之前提及由Sansec在Magento 1 Eol Hacking Spree:
这提示我们可能正在寻找同一个威胁演员,现在我们可以通过查看正在使用的基础设施来确认。
Magecart Group 12再次
因为我们在Magento 1.x网站上找到了Favicon网碑,我们认为可能会有一个在去年发生的黑客攻击时,当发现了Magento 1分支机构(不再维护)时,可以是去年的攻击。风险Q.记录这些妥协并将它们与Magecart组12当时链接。
我们找到的最新域名(zolo [。] pw)碰巧托管在同一IP地址(217.12.204 [。] 185)作为recaptcha-in [。] pw和google-statik [。] pw,域之前与Magecart组12相关联。
关于第1组的活动也有很多公开文件的材料,也以其为主蚂蚁和蟑螂'撇渣器,他们的诱饵Cloudflare图书馆或者他们滥用Favicon文件。
动态装载撇渣器
有许多方法可以加载撇码代码,但最常见的方法是通过调用外部JavaScript Ressource。当客户访问在线商店时,他们的浏览器将向托管撇渣器的域提出请求。虽然犯罪分子将不断扩大他们的基础设施,但使用域/ IP数据库方法阻止这些撇渣器相对容易。
相比之下,我们在本博客中显示的撇渣器动态地将代码注入商家网站。对托管浏览代码的恶意域的请求不是客户端但服务器端。由于这种数据库阻塞方法在此处不起作用,除非所有受损的商店都被列入黑名单,这是一个捕获-22的情况。更有效,但也更复杂,易于误报,是实时检查DOM并检测恶意代码是否已加载。
我们继续追踪来自Magecart集团12的活动和其他活动12.在线商家需要确保他们的商店是最新的,而且不仅要通过PCI标准,而且还要维持信托购物者的位置。如果您在线购物,锻炼一些警惕并装备自己的安全工具总是很好的,请享受我们的Malwarebytes必威平台APP网页防护和浏览器卫队。
参考
https://blog.group-ib.com/btc_changer.
https://twitter.com/unmaskparasites/status/1370579966069383168?S=20
https://twitter.com/sansecio/status/1367404202461450244?s=20
https://twitter.com/unmaskparasites/status/1234919686242619393/20.
https://community.riskiq.com/article/fda1f967
https://blog.sucuri.net/2020/04/web-skimmer-with-a-domain-name-generator.html.
https://sansec.io/research/cardbleed.
妥协指标
脸部[。]主持人
pathc [。]空间
捕食者[。]主机
Google-Statik [。] PW
recaptcha-in [。] pw
sexrura [。] pw
zolo [。] pw
kermo [。] pw
psas [。] pw
pathc [。]空间
捕食者[。]主机
GooogletagManager [。]在线
想要[。] pw
Y5 [。] MS
autocapital [。] pw
Myicons [。]网
QR202754 [。] PW
thesun [。] pw
Redorn [。]空间
Zebn [。] PW
googletagmanag [。] com
autocapital [。] pw
http [。] ps
xxx-club [。] pw
Y5 [。] MS
195 [。] 123 [。] 217 [。] 18
217 [。] 12 [。] 204 [。] 185
83 [。] 166 [。] 241 [。] 205
83 [。] 166 [。] 242 [。] 105
83 [。] 166 [。] 244 [。] 113
83 [。] 166 [。] 244 [。] 152
83 [。] 166 [。] 244 [。] 189
83 [。] 166 [。] 244 [。] 76
83 [。] 166 [。] 245 [。] 131
83 [。] 166 [。] 246 [。] 34
83 [。] 166 [。] 246 [。] 81
83 [。] 166 [。] 248 [。] 67
jamal.budunoff@yandex [。] ru
muhtarpashatashanov @ yandex [。] ru
nikola-az @ rambler [。] ru
评论