7月27日消息,安全人員發現,攻擊者使用偽造的Google域名,借助國際化域名(IDN)來託管和加載支持多個支付網關的Magecart信用卡側錄器腳本。
該網站的所有者將其域名列入McAfee SiteAdvisor服務的黑名單後檢測到該攻擊,Sucuri安全人員在仔細研究後發現該罪魁禍首是基於JavaScript的支付卡側錄器注入該網站。
使用IDN來偽裝託管惡意內容的伺服器是在網絡釣魚攻擊期間採用的一種障眼法,這種方式可以隱藏來自惡意域的流量作為從合法站點傳遞的數據包。
“我們的調查顯示該網站感染了一個信用卡側錄器,從惡意國際化域google-analytîcs[。] com(或ASCII中的xn-google-analytcs-xpb [。] com)加載JavaScript,”Sucuri的研究團隊發現。
據悉,攻擊者注入的卡片略讀腳本使用加載的JavaScript,使用document.getElementsByTagName捕獲任何輸入數據,並使用輸入或存儲的元素名稱捕獲下拉菜單數據。
數據抓取
其特殊之處在於,如果它在訪問者的Chrome或Firefox網絡瀏覽器中檢測到開發者工具面板已打開,它將自動改變其行為。如果此檢查具有肯定結果,則分離器腳本將不會將其捕獲的任何數據發送到其命令和控制(C2)伺服器以避免檢測。
以上行為,被一個名為Magecart的黑客組織使用。
正如安全人員分析中發現的那樣,這個Magecart側錄器腳本可能會將它連接到Sanguine Security研究員Willem de Groot幾個月前發現的另一個類似的惡意工具。
在多線程加載器的幫助下,在被攻陷的在線商店注入之後,發現的卡片瀏覽腳本de Groot能夠從世界各地收集50多個不同的支付網關。顯然,僅憑個人無法如此詳細地研究所有這些本地化支付系統,”De Groot當時表示。
側錄器Sucuri使用另一個欺騙性的Google域名來提供截取的付款信息,攻擊者使用google [。] ssl [。] lnfo [。] cc IDN作為他們的exfiltration伺服器。
Magecart黑客組織是一支自2015年以來一直存在高度動態和有效的網絡犯罪團體,他們的活動在四年後一如既往地活躍。
它們代表了一種不斷發展的網絡威脅,這種威脅一直是針對像Amerisleep和MyPillow這樣的小型零售商以及Ticketmaster,British Airways,OXO和Newegg等知名國際公司的攻擊。
7月初,Magento安全研究公司Sanguine Security發現了一項大規模支付卡側取活動,成功突破了962家電子商務商店。
5月份,Magecart集團成功地在美國和加拿大數百家在線校園商店的PrismWeb支持的結账頁面中注入了支付卡側讀腳本。
Malwarebytes安全研究員JérômeSegura發現,在同一個月晚些時候,使用升級的信用卡竊取程序腳本設計使用基於iframe的網絡釣魚系統時,也與Magecart有關。
參考來源:
bleepingcomputer
https://www.bleepingcomputer.com/news/security/hackers-inject-multi-gateway-card-skimmer-via-fake-google-domains/
-----招聘好基友的分割線-----
招聘崗位:
網絡安全編輯(采編崗)
工作內容:
主要負責報導國內外網絡安全相關熱點新聞、會議、論壇、公司動向等;
採訪國內外網絡安全研究人員,撰寫原創報導,輸出領域的深度觀點;
針對不同發布渠道,策劃不同類型選題;
參與打理宅客頻道微信公眾號等。
崗位要求:
對網絡安全有興趣,有相關知識儲備或從業經歷更佳;
科技媒體1-2年從業經驗;
有獨立采編和撰寫原創報導的能力;
加分項:網感好,擅長新媒體寫作、90後、英語好、自帶段子手屬性……
你將獲得的是:
與國內外網絡安全領域頂尖安全大牛聊人生的機會;
國內出差可能不新鮮了,我們還可以矽谷輪崗、國外出差(+順便玩耍);
你將體驗各種前沿黑科技,掌握一手行業新聞、大小公司動向,甚至是黑客大大們的獨家秘聞;
老司機編輯手把手帶;
以及與你的能力相匹配的薪水。
坐標北京,簡歷投遞至:[email protected]
---
“喜歡就趕緊關注我們”
宅客『Letshome』
雷鋒網旗下業界報導公眾號。
專注先鋒科技領域,講述黑客背後的故事。
長按下圖二維碼並識別關注
香港九龍灣馬來街興發大廈15樓D室