來源:超時代軟件 更新時間:2019年01月18日 19:22:43
最臭名昭著的黑客組織Magecart再次出手,專門從安全性較低的電子商務(wù)網(wǎng)站竊取信用卡信息。
根據(jù)RiskIQ安全研究人員了解到,該黑客組織最近一段時間成功的利用供應(yīng)鏈的攻擊攻破了近277個電子商務(wù)網(wǎng)站。該組織去年就針對對一些大企業(yè)發(fā)動襲擊包括Ticketmaster,英國航空公司(British Airways)。
通常,黑客在部分電子商務(wù)網(wǎng)站惡意插入JavaScript代碼到結(jié)帳頁面默默的捕捉顧客在購買網(wǎng)站商品后的支付信息,然后將其發(fā)送給攻擊者的遠程服務(wù)器。
然而,兩家公司的人員今天透露,Magecart在其瀏覽代碼插入第三方JavaScript庫,使所有網(wǎng)站使用這個腳本加載惡意代碼而不是直接影響目標網(wǎng)站。
第三方庫是由一個法國在線廣告公司,叫做Adverline的服務(wù)商,數(shù)以百計的歐洲電子商務(wù)網(wǎng)站使用它來投放廣告。
更匪夷所思的是,安全研究人員Yonathan Klijnsma RiskIQ發(fā)現(xiàn)會避免自己免受來自de-obfuscation分析執(zhí)行與完整性的檢查。
data-skimming代碼首先檢查的是上一個執(zhí)行購物車的web頁面。它通過檢測相關(guān)字符串URL中像“結(jié)帳”,“賬單”,“購買”,“購物車”。
一旦檢測到任何帶有這些字符串的URL,該腳本將開始執(zhí)行瀏覽行為通過復(fù)制表單名稱和植入用戶在網(wǎng)頁輸入的形式。
盜取的付款和計費數(shù)據(jù)被存儲在JavaScript LocalStorage Base64格式中密鑰名“緩存”。 指定個人受害者,代碼會生成一個隨機數(shù),儲備在LocalStorage E-tag與之相關(guān)的數(shù)據(jù)庫中。