本文作者为Jérôme Segura

尽管全球电子商务仍在继续快速增长,但Magecart通过数字扫描器进行的攻击似乎并没有遵循同样的趋势。如果我们只看看最近有新闻价值的攻击,这当然是正确的;事实上,当受害者是一家大企业或流行品牌时,我们通常更容易记住它。

从研究的角度来看,我们已经观察到攻击范围的某些变化。例如,不同的威胁行动者正在继续扩大其方法和基础设施并使其多样化。在一个博客关于Magecart Group 8,我们记录了一些用于过滤和窃取数据的不同网站。

但在一天结束的时候,我们只知道我们能看到的攻击,直到我们发现更多。举个例子,一种被识别为q-logger的特殊撇脂器已经活跃了几个月。但直到我们开始进一步挖掘,我们才意识到它的规模有多大。

Q-logger起源

这个撇脂器最初是由埃里克·布兰德尔标记q-logger。根据您有多喜欢解析JavaScript,您可能对它有爱或恨的关系。代码是密集的,并且使用了尽可能通用的混淆器,这使得使用签名进行识别具有挑战性。

这个略读器可以被直接加载到受损的电子商务网站。然而,在大多数情况下,我们发现它是外部加载的。

加载程序

加载器也是一段编码过的JavaScript,有点晦涩难懂。它被内联注入到DOM中文本/ x-magento-init标记或由大量的空白

理解代码的一种方法是使用调试器并在特定位置设置断点。最好是使用一个已经泄露的网站或绕过检查地址栏(一步结帐)。

现在我们可以看到这个脚本的用途:它是装载适当的略读器。

鲸鱼号

如前所述,略读器非常不透明,使调试工作变得困难和冗长。

为了切入正题,撇码器通过POST请求将数据转移到加载JavaScript的相同域名。

文章https://filltobill5.casa/ HTTP / 1.1
主持人:filltobill5.casa
(混淆数据)

威胁行动者和受害者

我们从这次活动的幕后黑手那里收集到了一些迹象。一个是使用网络邮件。tk,也Luke Leal观察到的,用于注册略读域。

尽管有来自同一注册商的域名集群,我们看到他们试图划分他们的基础设施,并隐藏主机提供商的真实IP地址。他们还批量注册域,这让他们能够击败传统的黑名单。

我们不能很好地估计这一活动的流行程度,但我们在监控电子商务网站的恶意代码时肯定会经常遇到它。受害者是经营Magento在线商店的各种小企业。

结论

大量运行过时版本CMS的电子商务网站对于有意窃取信用卡数据的威胁行动者来说是一个容易实现的目标。从某种意义上说,总有一个潜在受害者的基线可以收获。

时不时地,一些机会就会出现。它们可以像插件或CMS中的零日一样简单,或者可能是通过供应链攻击进入更有价值目标的切入点。

威胁行动者总是准备好抓住这些机会,而且很可能提前建立了他们的基础设施,等待这样的机会。

必威平台APP恶意软件字节的客户是受保护的,以防止这种skimmer。

妥协的指标

电子邮件地址(注册人)

  • wxugvvvu@netmail。tk
  • isgskpys@netmail。tk
  • zulhqmnr@netmail。tk
  • yzzljjkmc@emlhub。com
  • foyiy11183@macosnine。com

除油船域

adminet(。)
adminet。空间
amasterweb(。)
analistcloud。空间
analistnet(。)
analistnet。空间
analistsite(。)
analistsite。空间
analisttab(。)
analisttab。空间
analistweb(。)
analistweb。空间
analitic-tab(。)
analitic-tab。空间
analiticnet(。)
analitics-tab(。)
analiticsnet(。)
analiticstab(。)
analiticstab。空间
analitictab(。)
analitictab。空间
analiticweb(。)
analizeport(。)
analizerete(。)
analylicweb(。)
analystclick(。)
analysttraffic(。)
analystview(。)
analystweb(。)
analyticlick(。)
analyticmanager(。)
analyticview(。)
aneweb(。)
bublegum。xyz
cdnetworker(。)
cleanerjs(。)
clickanalyst(。)
clickanalytic(。)
cloudtester(。)
cocolatest。sbs
评论者(。)
connectweb。空间
domainclean(。)
domainet(。)
domainet。空间
最快(。)
fastjspage(。)
fastupload(。)
filltobill5 casa(。)
foosq(。)
foundanalyst(。)
foundanalytic(。)
网上fullka(。)
goos1(。)
gudini。凸轮
hardtester(。)
hostcontrol。空间
httpanel(。)
indokitel。xyz
interage(。)
ipcounter。空间
itoltuico cyou。

itsector。日期
jscleaner(。)
lanetester(。)
lanlocker(。)
linkerange(。)
linkerange。空间
listmanager。空间
loockerweb(。)
magengine(。)
managerage(。)
managerage。空间
managertraffic(。)
mariaschool。xyz
masterlinker(。)
masternet。空间
masterport(。)
mediaconservative。xyz
minanalize(。)
minimazerjs(。)
netanalist(。)
netanalist。空间
netanalisttest。空间
netanalitic(。)
netanalitic。空间
netanalitics(。)
netcontrol(。)
netpanel(。)
netstart。空间
nettingpanel(。)
nettingtest(。)
nettraffic(。)
ollaholla cyou。
onehitech casa(。)
ownerpage(。)
pagecleaner(。)
pagegine(。)
页面加载(。)
pagenator(。)
pagestater(。)
pagesupport(。)
panelake(。)
panelake。空间
panelan(。)
panelblock(。)
panelnetting(。)
panelocker(。)
网上pinokio(。)
planetspeed(。)
producteditor(。)
retenetweb(。)
rokki。俱乐部
saverplanel(。)
sectimer(。)
securefield(。)
seeweb。空间
sentech cyou。
showproduct(。)
siteanalist(。)
siteanalist。空间
siteanalitic(。)
siteanalitics(。)
siteanalyst(。)

siteanalytic(。)
sitengine(。)
sitesecure。空间
sitetraffic(。)
slickclean(。)
slotmanager(。)
slotshower(。)
smallka。凸轮
smalltrch。cc
soorkis(。)
spaceclean(。)
spacecom(。)
speedstress(。)
speedtester(。)
speedtester。空间
sslmanager(。)
星网(。)
statetraffic(。)
statsclick(。)
storepanel(。)
支持(。)
tab-analitic(。)
tab-analitic。空间
tab-analitics(。)
tab-analitics。空间
tabanalist(。)
tabanalist。空间
tabanalitic(。)
tabanalitic。空间
tabanalitics(。)
tabanalitics。空间
targetag。空间
telanet(。)
telanet。空间
trafficanalyst(。)
trafficanalytics(。)
trafficcloud(。)
trafficsanalist(。)
trafficsee(。)
trafficweb(。)
truetech。凸轮
unpkgtraffic(。)
veeneetech(。)世界
versionhtml(。)
viewanalyst(。)
viewanalytic(。)
webanalist(。)
webanalist。空间
webanalitic(。)
webanalitics(。)
webanalylic(。)
webanalyst(。)
webmode(。)
webmoder。空间
welltech。酒吧
welltech。怪物
welltech(。)休息

除油船url

filltobill5 casa / state-3.9.min.js。
/ state-5.0.7.js welltech[]栏
世界/ tag-2.7.js veeneetech(。)
goos1存储/ openapi-3.3.min.js。
goos1存储/ animate-1.6.9.min.js。
xyz / openapi.min.js mariaschool(。)
/ state.min.js pagecleaner[]网站
一/ mobile.js foosq []
pinokio在线/ slick-3.4.min.js(。)
truetech cam / screen-4.6.min.js。
onehitech casa / tags-3.0.7.js。
/ mobile-1.3.min.js rokki[]的俱乐部
xyz / libs.min.js bublegum(。)
/ utils.js fastjspage[]网站
最快/ waypoints.min.js[]网站
/ openapi-4.1.js versionhtml[]网站
itoltuico [] cyou / library-3.6.js

/ utils.js adminet[]网站
ollaholla [] cyou / common-4.1.js
xyz / current.min.js indokitel(。)
/ tag.js panelake[]网站
gudini cam / libs-2.0.js。
fullka在线/ dropdowns-1.6.min.js(。)
welltech [] / mobile-2.3.min.js的怪物
welltech [] / widget.min.js休息
sentech [] cyou / widget.min.js
smalltrch [] cc / plugin-1.9.7.js
一/ widget-3.6.7.js soorkis []
/ common.js analistcloud[]空间
smallka cam / plugin-1.1.3.js。
/ common.js loockerweb[]网站
xyz / script.js mediaconservative(。)
itsector日期/ waypoints.min.js。

雅苒规则

rule qlogger_loader_WebSkimmer: Magecart WebSkimmer {meta: author = "Ma必威平台APPlwarebytes" description = "Magecart (q-logger loader)" source = "//m.fwgtm.com/threat-intelligence/2021/10/q-logger-skimmer-keeps-magecart-attacks-going/" date = " 2012110-19 " strings:$ regex = /“负载”,函数\(\)\{\(\)\ \(函数{/ $ regex2 = / \(!!\[\]\)\{ 尝试{var / $ regex3 = / \ \ w \['转变 '\]\(\)\);\}\}\}/ 条件:所有这些}规则qlogger_skimmer_WebSkimmer: Magecart WebSkimmer{元:author = "必威平台APPMalwarebytes" description = "Magecart (q-logger skimmer)" source = "//m.fwgtm.com/threat-intelligence/2021/10/q-logger-skimmer-keeps-magecart-attacks-going/" date = " 2012110-19 " strings: $regex = /return\(!!窗口\ [\ w {2} \ (/ $ regex2 = / \ w \(\)控制台\[/条件:所有的}