更新(2)当前位置特百惠公司的发言人向《计算机周刊》的安全编辑亚历克斯·斯克罗斯顿发表了公开声明。你们可以读一下在这里

更新在我们的博客文章之后,我们继续监控特百惠的网站。截至3月25日下午1:45,我们注意到恶意PNG文件已被删除,随后出现在主页上的JavaScript文件也被删除。

3月20日,Malware必威平台APPbytes发现了针对家用品牌特百惠及其相关网站的有针对性的网络攻击,该攻击至今仍在进行。我们试图在发现后立即提醒特百惠,但我们的电话和邮件都没有得到回复。

威胁者破坏了官方特百惠[。网站的平均用户数接近100万每月的访问-以及它的一些本地化版本,隐藏在一个图像文件中的恶意代码,激活一个欺诈支付表单在付款过程中。这个表格通过一个数字信用卡扫描器收集客户的支付数据,并将其传递给网络犯罪分子和特百惠的顾客。

数字信用卡扫描器,也被称为web撇油器,仍然是我们在Malwarebytes监控的最大网络威胁之一。必威平台APP在过去的几年里,一些罪犯(通常与有组织的Magecart组)一直在积极地危害电子商务平台,目的是窃取不知情购物者的支付数据。

鉴于COVID-19爆发在美国,网上购物的人数急剧增加,毫无疑问,越来越多的交易将受到信用卡刷单者的影响。

在特百惠的妥协中投入了相当多的工作,以无缝地集成信用卡扫描程序,并尽可能长时间地不被发现。下面,我们将向您介绍我们是如何发现撇脂器的,并分析其威胁和攻击技术。

流氓iframe容器

在我们的一次网络抓取中,我们发现一个可疑的iframe从deskofhelp加载[。当访问特百惠[.]com的付款页面时。该iframe负责显示向在线购物者展示的支付表单字段。

这个域名有几个危险信号:

  • 它创建于3月9日,正如我们在许多欺诈网站上看到的那样,新注册的域名经常被威胁行动者在新的行动之前使用。
  • 它注册于elbadtoy@yandex。俄罗斯,这是俄罗斯供应商Yandex的电子邮件地址。这似乎与一家美国品牌网站上的付款表格不一致。
  • 它托管在一个服务器在5.2.78[。旁边有几个网络钓鱼域。

有趣的是,如果您要检查结帐页面的HTML源代码,则不会看到这个恶意的iframe。这是因为它是动态加载的文档对象模型(DOM)。

一种方法来揭示这个iframe是右键单击支付表单中的任何地方,并选择“查看框架源”(在谷歌Chrome)。它将打开一个新标签,显示由deskofhelp[.]com加载的内容。

在集成信用卡浏览器的过程中有一个小缺陷:攻击者没有仔细考虑(或者可能根本不关心)恶意表单在本地化页面上的外观。例如,特百惠网站的西班牙语版本是用西班牙语写的,但流氓支付表单仍然是用英语写的:

以下是合法形式(西班牙语):

更多欺骗消费者的花招

犯罪分子设计了他们的skimmer攻击,让购物者首先将他们的数据输入到流氓iframe中,然后立即显示一个伪装成会话超时的错误。

这允许威胁行为者用合法的支付表单重新加载页面。受害者会第二次输入他们的信息,但到那时,数据盗窃已经发生。

经过仔细检查,我们发现欺诈者甚至复制了特百惠使用的支付平台CyberSource的会话超时消息。来自CyberSource的合法支付表单包括一个安全特性,如果用户在一定时间后不活跃,支付表单将被取消,并出现会话超时消息。注意:我们也联系了拥有CyberSource的Visa公司报告了这一滥用行为。

你仍然可以发现合法超时页面(从secureacceptance.cybersource.com加载)和虚假超时页面之间的细微差别。前者包含粗体黑色文本“Session timed out”,而后者以更小且不同字体的灰色文本为特征。

被窃取的数据被发送到用于托管非法iframe的相同域。欺诈者现在掌握了不知情购物者的以下数据:

  • 姓和名
  • 帐单地址
  • 电话号码
  • 信用卡号码
  • 信用卡有效期
  • 信用卡CVV

另一个隐写术的例子

为了确定卡片扫描器攻击是如何工作的,我们需要回到几个步骤,并检查所有由特百惠加载的网络资源[。. com,包括图像文件。

这个过程可能很耗时,但对于判断如何注入非法iframe是必要的。我们在主页上发现了一个代码片段,它动态地调用特百惠服务器上的FAQ图标,这个图标是静默加载的(因此购物者是看不到的)。该图像包含一个非常可疑的畸形PNG文件。

使用十六进制编辑器查看这个文件,我们可以看到图像的不同部分。虽然IEND应该标记文件的结尾,但在一些空格之后,有一个很大的JavaScript简介,其中包括已经编码的几个部分。

此时此刻,我们还不知道密码的作用,但我们可以断定是某种隐写式攻击,一种我们在网页浏览器中观察到的去年晚些时候。一种方法是调试JavaScript代码,尽管恶意软件的作者试图让调试器崩溃。

一旦我们克服了这个障碍,我们最终可以确认嵌入在PNG图像中的代码负责在结帐页面加载流氓iframe:

还有一些额外的代码,以便无缝地、秘密地装载skimmer。通过引用iframe的ID并使用{显示:没有}设置。

虚假的支付表单也会被引用,这样它就能与它的位置相匹配,并且看起来完全一样(除了本地化版本)。这需要欺诈者努力模仿相同的风格和功能。

域deskofhelp(。com包含一组JavaScript、CSS和图像文件,当然,还有用于检查和过滤支付数据的代码。

网站妥协

我们还没有回答的一个问题是恶意PNG图像是如何加载的。我们知道,嵌入的JavaScript在DOM中动态加载代码,但需要先调用PNG文件,并且必须在HTML源代码中可见。

为了使识别稍微困难一些,代码被分解了。但是,我们可以重新构建它,并看看URL加载PNG文件是如何通过使用字符串连接构建的。

此代码有助于确定网站发生妥协的时间框架。虽然我们没有档案,但我们从外部来源知道,比如这WayBackMachine爬他说,2月份的时候,该代码并不存在。这次黑客攻击最有可能发生在3月9日之后,也就是恶意域名deskofhelp[。com开始活跃。

我们不知道特百惠是怎么被黑的,但是通过Sucuri的SiteCheck进行扫描显示他们可能运行的是Magento Enterprise软件的过时版本。

信息披露和保护

在确认了这一妥协后,我们给特百惠打了几次电话,还通过电子邮件、Twitter和LinkedIn发送了信息。然而,在发布之时,我们仍然没有收到来自该公司的回复,该网站仍然受到损害。

必威平台APP伪用户能保护我们免受攻击吗,包括那些自由奔跑的人浏览器警卫扩展

如果我们收到任何额外的信息,我们将更新这个博客。

妥协的指标

特百惠网站(美国和加拿大)上的恶意PNG文件:

Tupperware [.] /media/wysiwyg/faq_icon.png . Tupperware [.] /media/wysiwyg/faq_icon.png Tupperware [.] /media/wysiwyg/faq_icon.png

恶意PNG的SHA-256

d00f6ff0ea2ad33f8176ff90e0d3326f43209293ef8c5ea37a3322eceb78dc2e

燕鸥类基础设施

deskofhelp(。com 5.2.78 [] 19