网页浏览竞争在茵宝巴西黑客

受欢迎的运动服装品牌茵宝(Umbro)也有自己的品牌茵宝巴西网站被黑客入侵并注入了Magecart集团的两个网页浏览器。

Magecart已经成为一个家喻户晓的名字在最近几个月由于高调攻击各种商业网站。犯罪分子可以从在线购买产品或服务的游客那里无缝窃取支付和联系信息。

多个威胁行动者正在以不同的规模竞争，以分得一杯羹。因此，有许多不同的网页浏览脚本和小组，关注特定类型的商家或地理区域。

举个恰当的例子，在这个Umbro Brasil妥协中，两个略读脚本中的一个检查是否存在其他略读代码，如果存在，将略微改变受害者输入的信用卡号码。实际上，第一个撇号者会收到错误的信用卡号码，这是一种直接的破坏行为。

两艘撇水船迎面相撞

Umbro Brasil网站(umbro.com [] br)运营Magento电子商务平台。第一个skimmer是通过一个假的BootStrap库域加载的bootstrap-js。com,最近由Brian Krebs讨论．看看它的代码，根据最近的一份报告，我们发现它符合主要活跃在南美的威胁行动者的特征报告RiskIQ．

该筛选器不会混淆数据，而是过滤标准JSON输出中的数据。然而，另一个撇脂器也出现在相同的网站，从g-statistic。com．这一次，它被严重模糊了，如下图所示:

Magecart集团之间没有公平竞争

另一个有趣的方面是，第二个撇号器如何从第一个撇号器改变信用卡号码。在发送表单数据之前，它获取信用卡号并将其最后一位替换为一个随机数。

下面的代码片段显示了某些域名是如何触发这种机制的。在这里我们认识到bootstrap-js。com,这是第一个撇脂器。然后生成一个0 ~ 9之间的随机整数供后续使用。最后，去掉信用卡号的最后一位数字，使用之前生成的随机数。

通过篡改数据，第二个略读器可以发送一个无效的但是几乎正确的信用卡号码到竞争撇码器。因为只改变了一小部分，它很可能通过验证测试，然后在黑市上出售。买家最终会意识到他们购买的信用卡是无效的，不会再信任卖家。

第二个筛选器现在是唯一持有有效信用卡号的筛选器，它使用一个特殊的函数来编码它所过滤的数据。查看POST请求，我们只能看到看起来像胡言乱语发送到它的过滤域(云onlineclouds(。))：

在同一宿主上存在多个感染的情况并不罕见。事实上，除非网络服务器的一个漏洞被修复，否则它很容易被不同的作恶者进行几次妥协。有时它们可以和平共处，有时它们直接竞争相同的资源。

城里最酷的运动

虽然网页浏览已经持续了多年，但它现在已经成为一个非常常见的(再次)发生。安全研究人员威廉de Groot已聚合的数据40 k网站自2015年开始计算。他的研究还表明，电子商务网站之间的再感染(再感染率为20%)是一个需要解决的问题。

处理支付处理的网站所有者需要通过保持他们的软件和插件的更新来确保他们的平台的安全，同时要特别注意第三方脚本。

消费者在网上购物时也需要意识到这一威胁，即使商家是一个知名的和声誉良好的品牌。除了密切监控银行对账单外，它们还应该考虑如何限制恶意提款造成的损害。

我们已经通知CERT.br这一妥协，即使撇码器仍然在线，Malwarebytes用户被我们的网络保护模块覆盖。必威平台APP

应答:

多亏了威廉de Groot感谢他在这项研究中的帮助。

国际石油公司

撇油器

除油船1:bootstrap-js(。第二次浏览:g-statistic[.]com

漏出

bootstrap-js[。com 2nd skimmer的exfil域:在线云[.]云