6月初,我们记录了Magecart信用卡撇取器的使用情况在Amazon S3上找到.这是一个有趣的发展,因为威胁参与者并没有积极地针对特定的电子商务商店,而是不加选择地注入任何公开的S3桶。

从那时起,我们就开始监控其他我们认为可能会出现撇脂鱼的地方。然而,当我们收到一个客户的报告,说他们在运行扑克软件时收到了magecart相关的警报时,我们有点感兴趣。

通常情况下,像Magecart犯罪分子使用的这种窃取者会在网络浏览器中运行,利用恶意的JavaScript代码窃取受害者的个人信息,包括支付数据。在这篇博客中,我们回顾了一个奇怪的扑克案件,它始于一个Windows程序的检测,但也与一个网站的妥协有关。

软件应用程序连接到Magecart域

扑克追踪是一个软件套件的扑克爱好者,旨在帮助玩家改善他们的游戏,使在线游戏体验更顺畅。Holdem和Omaha的零售价从59.99美元到159.99美元不等,可以直接在供应商的网站上购买。

客户报告,我们看到Malwareby必威平台APPtes正在阻止连接到域ajaxclick[。当扑克软件应用程序poker Tracker4 (PokerTracker4.exe)启动时。

我们的第一步是尝试重现这种行为,以便更好地了解幕后发生了什么。果然,在安装过程完成并启动程序后,我们也注意到了相同的web连接块(图1)。

图1:当我们启动扑克必威平台APP应用程序时,Malwarebytes停止了与恶意域的连接。

流量分析揭示网页略读

为了找出更多关于这个应用程序可能请求或发送给ajaxclick[的数据。com,我们检查了网络流量,特别是与172.93.103[。] 94 IP地址。有趣的是这个HTTP GET请求从前面提到的域名中检索一个JavaScript文件(click.js)。

图2:网络流量捕获显示恶意域的完整URL路径

如果我们仔细观察,就会发现信用卡撇码者的典型特征。(顺便说一下,另一个JavaScript代码片段也托管在ajaxclick[。com是最近由安全研究人员确认.)解码整个脚本后,我们可以更详细地看到数据外流过程:

图3:显示撇码器如何收集和过滤被盗数据的代码片段

这个略读器是为pokertracker.com站点定制的,因为不仅变量名与它的输入表单字段匹配,而且略读器脚本的数据部分也有站点名的硬编码。

图4:略读器瞄准的签出页面和信用卡号码字段

根据我们的观察,ajaxclick[。网站包括不同的浏览器,每个都是为个别受害网站定制的。为了防止安全研究人员仔细检查每个略读器,在某些情况下,威胁行为者实现了服务器端代码,以确保通过HTTP请求头传递唯一的引用。

通过枚举ajaxclick[.]com/ajax/libs/x.x.x/click.js URL路径,我们可以检查在该特定位置是否存在一个skimmer脚本。如果是,服务器将返回200 HTTP状态码。如果没有,它将返回404。这个过程让我们发现了几个其他的略读器,包括另一个更详细的位于ajaxclick[.]com/ajax/libs/1.3.6/click.js的pokertracker.com网站。

图5:托管在同一恶意域上的更多浏览器脚本

Drupal网站被黑事件背后

有那么一会儿,我们还以为扑克应用程序被木马入侵了。然而,当使用该软件时,我们注意到,该程序也可以作为一个浏览器,在其用户界面中显示网页。在本例中,从pt4.pokertracker.com检索内容:

图6:显示扑克应用程序内部加载的子域的Web流量

子域,以及根域(主网站在pokertracker.com),都在运行Drupal版本6.3,这是过时的脆弱的.他们都被注射了撇脂器。这是我们在Magecart中习惯的活动类型,尽管这个站点运行的是Drupal而不是Magento(网络浏览者最关注的平台)这一事实有点令人惊讶。

图7:主网站poketracker.com也被同一个略读器入侵。

每次用户启动PokerTracker 4时,它都会在应用程序中加载受损的网页,这会在浏览脚本试图加载时触发Malwarebytes的阻止通知。然而,值得注意的是,直接访问扑克网站的用户也会接触到撇渣器。必威平台APP

我们向PokerTracker的所有者报告了这个事件,他们迅速发现了这个问题,并删除了违规的Drupal模块。他们还告诉我们,他们收紧了内容安全政策(CSP),以帮助减少未来通过有害的外部脚本进行的攻击。

这一事件告诉我们,用户可能会在意想不到的地方遇到网络浏览器,而不仅仅是在网上购物的结帐页面。最终,任何加载未经验证的JavaScript代码的东西都很容易被发现。结果,Magecart强盗有一个很好的,广阔的竞技场在他们面前。当然,他们必须先突破防守。

妥协的指标

略读域名和IP地址

ajaxclick。com
194年172.93.103(。)

已知略读脚本

ajaxclick com/ajax/libs/1.0.2/click.js。
ajaxclick com/ajax/libs/1.1.2/click.js。
ajaxclick com/ajax/libs/1.1.3/click.js。
ajaxclick com/ajax/libs/1.2.1/click.js。
ajaxclick com/ajax/libs/1.3.2/click.js。
ajaxclick com/ajax/libs/1.3.4/click.js。
ajaxclick com/ajax/libs/1.3.6/click.js。
ajaxclick com/ajax/libs/1.3.9/click.js。
ajaxclick com/ajax/libs/1.4.0/click.js。
ajaxclick com/ajax/libs/1.4.1/click.js。

漏出大门

www-trust。com