Magecart攻击是一种数字信用卡窃取攻击,其中恶意代码被注入电子商务网站,以在在线交易期间窃取毫无戒心的客户的支付卡信息。请警惕诈骗者使用令人信服的新伎俩,通过Magecart攻击窃取您的支付卡数据。
Akamai安全情报小组的研究人员注意到,在新检测到的数字窃取活动中,Magecart攻击浪潮更加复杂、更具创造性。此活动的独特之处在于,诈骗者利用网站生成的404错误来窃取敏感的财务数据。
在周一发布的博文中,Akamai安全研究员Roman Lvovsky写道,恶意代码被注入到404错误页面中,主要是Magento和WooCommerce网站。这些网站被直接利用,恶意代码片段被添加到其中一个“第一方资源”中。
在这次活动中,反复出现的目标是零售和食品行业的大型组织。该攻击分为三个部分,这对研究人员和扫描工具检测来说是一个挑战。此外,它有助于在目标页面上全面激活攻击。
Lvovsky解释说,Magecart攻击涉及利用目标网站或这些网站使用的第三方服务中的漏洞,在其支付页面上部署窃取恶意软件。一旦加载程序被执行,恶意软件就会向不存在的相对路径“/icons”发送获取请求,该请求会导致404 Not Found错误。
“对响应中返回的HTML进行分析后,发现它似乎是网站的默认404页面。这很令人困惑,让我们怀疑该浏览器是否在我们发现的受害者网站上不再活跃。”
罗曼·洛夫斯基 – Akamai
进一步探测发现,加载程序中的正则表达式与错误404页面的HTML中的COOKIE_ANNOT字符串相匹配,并且旁边有一个冗长的Base64编码字符串,其中包含混淆的JavaScript攻击代码。
所发生的情况是,加载程序从注释中提取字符串进行解码,然后执行攻击。当JavaScript skimmer被激活时,会显示一个虚假的结账表单,并提示访问者输入敏感数据,包括信用卡详细信息、到期日期和安全代码。当泄露的数据通过伪装成图像获取事件的图像请求URL传输到远程服务器以逃避网络流量监控服务的检测时,会出现虚假的会话超时错误。
当研究人员模拟对该路径的更多请求时,所有请求都返回包含恶意代码的相同错误页面。这意味着攻击者可以修改网站的默认错误页面并成功注入恶意代码。
Akamai检测到此攻击的另外两个变体。一种方法是将恶意代码隐藏在格式不正确的HTML图像标记中,并带有onerror 属性。另一个将代码隐藏在伪装成Meta Pixel代码的内联脚本中,Meta Pixel代码是一种流行的Facebook访客活动跟踪服务。
Magecart攻击涉及将恶意代码添加到电子商务网站中以窃取用户的个人和财务数据。最终用户在网站上输入数据时必须保持警惕。保持网站插件和软件最新并使用Web应用程序防火墙过滤掉恶意流量至关重要。最后,实施CSP(内容安全策略)来限制网站可以执行的脚本类型。
评论已关闭。