更新(2020-10-05):恶意代码已从繁荣中删除!移动网站

magecart攻击的大多数受害者往往是销售各种商品的典型网上商店。然而,我们偶尔会遇到不同类型的企业,它们仅仅因为碰巧脆弱而受到影响。

今天我们来快速了解一下一家向客户提供手机套餐的移动运营商。他们的网站可以让你用众所周知的购物车体验购买设备和服务。

但是,与Fullz House集团有关的犯罪分子以前记录过他们的网络钓鱼权司令部设法将恶意代码注入平台,从而从未意识到在线购物者捕获数据。

不寻常的受害者

繁荣!Mobile是一家无线供应商,销售在大型网络上运行的移动电话计划。这家总部位于俄克拉何马州的公司宣传自己拥有出色的客户服务、透明度和无合同。

我们的爬虫最近检测到他们的网站,繁荣[。]我们,已经注入了一个衬里,其中包含一个加载外部JavaScript库的Base64编码URL。

一旦解码,URL从paypal-debit[.]com/cdn/ga.js加载一个假谷歌Analytics脚本。我们很快就识别出这段代码是信用卡扫描器,它检查输入字段,然后将数据转移给罪犯。

此撇渣器非常嘈杂,因为它将在每次检测到当前页面上显示的字段的更改时抵消数据。从网络流量的角度来看,您可以将每个泄漏视为单个GET请求,其中数据是Base64编码。

已知威胁的演员

我们从a以前的事件在那里,威胁行为者使用诱饵支付门户网站,就像网络钓鱼页面一样。

RiskiQ在昵称下跟踪了这个组“更全面的房子,因为它利用卡片网站转售“fullz”,这是犯罪分子使用的术语,指的是受害者的完整数据包。

9月下旬,我们注意到了一些已登记的新域名,并遵循我们之前看到的相同模式。

然而,这个小组在夏天相当活跃,并继续一个良好的模式一年前。此外,那些域名为45102(阿里巴巴(美国)科技有限公司),也是以前记录过通过Sucuri。

网站上妥协

根据Sucuri.,繁荣[。]我们正在运行php版本5.6.40不再支持截至2019年1月。这可能是一个进入点,但任何其他弱势插件也可能被攻击者滥用,以将恶意代码注入网站。

我们通过实时聊天和电子邮件向Boom!但在撰写本文时还没有收到回复。他们的网站仍然受到威胁,在线购物者仍然面临风险。

必威平台APP在我们检测到这个事件之前,Malwarebytes浏览器守卫已经阻止了这个过滤器,因此阻止了远程脚本装载它的恶意代码。

Thabnks来@AffableKraut@unmaskparasites.共享额外的ioc。

妥协的指标

除油船域

谷歌标准[。] com
bing-analytics。com
谷歌赚取的金钱。com
google-sale。com
paypal-assist。com
paypal-debit。com
connect-facebook。com
cdn-jquery。com
google-assistant。com
paypalapiobjects。com
谷歌任务。com
jquery-insert。com
googleapimanager [。] com

除油船IPs

8.208.79.49
47.254.170.245

注册人邮件

medialand.regru@gmail.com