更新:为https颁发的数字证书。ps已被GlobalSign撤销。

诈骗犯以使用社会工程技巧来欺骗受害者而闻名,通常是通过冒充权威人物来建立信任。

在最近的一次博客,我们注意到Magecart窃取者背后的犯罪分子是如何模仿内容传输网络,以隐藏其有效载荷的。这一次,我们要考虑一个聪明得多的方案。

这个最新的浏览器伪装成一个JavaScript文件,看起来像是CloudFlare的Rocket Loader,这是一个用来提高页面加载时间的库。攻击者通过注册一个特别制作的域名,创建了一个几乎真实的副本。

这一行动已经影响了一些电子商务网站,表明威胁行为者将继续想出巧妙的方法来欺骗安全分析师和网站管理员。

诱饵火箭装载机

在一个被入侵的Magento网站上,我们注意到攻击者注入了一个脚本,声称是火箭加载程序库.事实上,我们可以看到两个几乎相同的版本并排加载。

火箭装载器模拟

如果我们查看他们的源代码,我们会发现这两个脚本是非常不同的。其中一个是模糊的,而另一个是公认的合法CloudFlare Rocket Loader库。

火箭装载机和撇油机,并排

在加载这两个脚本的URI路径上有细微的差别。恶意的使用一种聪明的方法来转换域名http.ps(注意点'。',额外的' p '和双斜杠' // ')变成类似于' https:// '的东西。威胁行动者利用了这个事实自谷歌Chrome版本76,“https”方案(和特殊情况的子域“www”)将不再显示给用户。

URL地址栏中的https证书视图

要显示完整的URL及其协议,您可以在地址栏内双击。在其他浏览器(如Firefox或Edge)中,默认值是显示整个URL。如果您是一个正在调查这个库的站点管理员,那么这种攻击就会更明显一些,因此效果会更差。

活动挡热运动

巴勒斯坦国家互联网命名管理局(PNINA)是域名的官方注册中心每分钟国家代码顶级域名(ccTLD)。诱饵域http.ps已于2020-02-07通过Key-Systems GmbH注册商注册。

2月中旬,安全研究员威廉·德·格鲁特在推特上关于这个域名是如何被用来在一个正在进行的活动附加的“e4[。女士”域。

扫描器代码和它的出口门(autocapital[.]pw)是描述GoDaddy/Sucuri的安全研究员丹尼斯·西尼古布科(Denis Sinegubko)说。

电子商务网站有两种受到损害的方式:

  • 浏览注入到自托管JavaScript库中的代码(jQuery库似乎是最合适的)
  • 引用托管在恶意站点上的外部JavaScript的脚本

在这个活动中使用的第一个版本是十六进制模糊类型的数据通过autocapital导出[。在诱饵火箭装载机库中看到。正如丹尼斯在他的推特中提到的,这个略读器包含英语和葡萄牙语版本(urlscan)。io存档在这里).

另一个版本的skimmer(托管在e4[.]ms上)使用了一个不同的混淆方案,通过xxx-club[.]该域与autocapital[.]在同一个服务器上。] pw漏出门)。

类似于假火箭装载机的命名约定

我们将这个混淆模式识别为“基数”,来自a以前的活动自2016年以来由Sucuri描述和跟踪。根据域名和略读器的命名规则,我们认为这一波最新的攻击可能是由相同的威胁行为者发起的。

补丁和主动安全

这种攻击强化了良好网站安全的重要性。大多数妥协都发生在没有更新或使用弱登录凭证的网站上。这些天,其他形式的防御包括web应用防火墙和CMS及其服务器的一般加固。

大多数在有问题的网站上购物的消费者在发现问题时都为时已晚。尽管商家有责任确保其平台的安全,但显然访问者自己需要采取额外的控制措施。

必威平台APPMalwarebytes用户通过Malwarebytes为消费者和企业提供的网络保护层来保护信用卡免受这种信用卡欺诈攻击。

我们已经联系了注册商和证书颁发机构,但在编写恶意诱饵域名时仍然活跃。

妥协的指标

撇油器和盖茨

http[。] ps autocapital[。] pw xxx-club(。] pw e4(。)日元女士(。)
67年83.166.248(。)
189年83.166.244(。)