犯罪分子喜欢滥用合法服务,特别是平台即服务(Paas)云提供商,因为它们是一种流行且可靠的托管商品,用于支持商业和消费者风险投资。

举个例子,2019年4月,我们记录一个服务于代码库GitHub的web浏览器。后来在六月,我们观察到的这是一场大规模的活动,将略读代码注入到Amazon S3桶中。

这一次,我们来看一看在Heroku,一个由Salesforce拥有的基于容器的云PaaS。威胁行动者不仅利用该服务来托管他们的“撇码器”基础设施,而且还收集被盗的信用卡数据。

所有被发现的虐待事件都已上报给Heroku并被撤下。我们要感谢Salesforce滥用操作团队对我们的通知做出的迅速回应。

滥用云应用获取信息

开发者可以利用Heroku以各种语言构建应用,并大规模无缝部署它们。

Heroku采用的是免费增值模式,新用户可以尝试该平台的免费主机服务,但有一定的限制。Magecart阴谋集团中不正当的一方在Heroku注册了免费账户,以开展他们的诈骗业务。

他们的网页浏览应用程序由三个部分组成:

  • 核心撇码器,将被注入到受损的商家网站,负责检测付款URL和加载下一个组件。
  • 一个流氓iframe,它将覆盖用于获取受害者信用卡数据的标准支付表单。
  • 对以编码格式发回的被盗数据的外逃机制。

iframe技巧

被攻击的购物网站只注入一行代码,用于加载远程JavaScript。它的目标是监视当前页面并在当前浏览器URL包含Base64编码的字符串时加载第二个元素(恶意信用卡iframe)Y2hlY2tvdXQ =(付款)。

iframe绘制在标准支付表单的上方,看起来与标准支付表单相同,因为网络犯罪分子使用相同的层叠样式表(CSS)portal.apsclicktopay.com/css/build/easypay.min.css

最后,被窃取的数据被转移,在此之后,受害者将收到一条错误消息,指示他们重新加载页面。这可能是因为表单需要正确地重新填充,而这次不需要iframe。

几个heroku托管的略读者找到了

这并不是在Heroku网站上发现的唯一一起信用卡欺诈事件。我们确定了其他几个使用相同命名惯例的脚本,它们似乎都在过去一周内变得活跃起来。

在一种情况下,威胁行为者可能忘记了使用混淆。代码显示了普通的略读,寻找特定的字段来使用window.btoa (JSON.stringify(结果))方法。

我们可能会继续观察到网络浏览者滥用更多的云服务,因为云服务是一种廉价(甚至免费)的商品,他们可以在使用完后丢弃它。

从检测的角度来看,托管在云提供商上的撇码器可能会导致一些误报问题。例如,一个域不能被成千上万的合法用户使用。然而,在这种情况下,我们可以很容易地进行完全限定域(FQDN)检测,并阻止恶意用户。

妥协指标(IOCs)

在Heroku上略读主机名

古代-萨凡纳- 86049 []herokuapp.com
纯-峰值- 91770 []herokuapp。com
水-灌木丛- 51318 []herokuapp。com
斯塔克-峡谷- 44782. - herokuapp。com