原文《2800 多家電子商店因運(yùn)行過(guò)時(shí)的 Magento 軟件受到信用卡黑客的攻擊》

最新研究顯示，今年9月初，針對(duì)運(yùn)行Magento 1.x電子商務(wù)平臺(tái)零售商的網(wǎng)絡(luò)攻擊是由一個(gè)攻擊組織發(fā)起的。

RiskIQ在11月11日發(fā)表的一份報(bào)告中說(shuō)：“這個(gè)組織實(shí)施了大量不同種類的Magecart攻擊，這些攻擊通常通過(guò)供應(yīng)鏈攻擊（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量網(wǎng)站?！?/p>

這些攻擊被統(tǒng)稱為CardBleude，針對(duì)至少2806多家Magento 1.x的在線商店，這些商店在2020年6月30日已經(jīng)停止使用。

Magecart是針對(duì)在線購(gòu)物系統(tǒng)的不同黑客團(tuán)體的聯(lián)合體，在購(gòu)物網(wǎng)站上注入電子竊取程序以竊取信用卡詳細(xì)信息是Magecart已實(shí)踐過(guò)的作案手法。

其攻擊被稱為formjacking攻擊，攻擊者通常會(huì)在支付頁(yè)面上偷偷將JavaScript代碼插入到電子商務(wù)網(wǎng)站中，以實(shí)時(shí)捕獲客戶卡的詳細(xì)信息并將其傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器。

但在最近幾個(gè)月中，Magecart組織加大了攻擊，他們將代碼隱藏在圖像元數(shù)據(jù)中，甚至進(jìn)行了IDN同形攻擊，以隱藏在網(wǎng)站的favicon文件中的網(wǎng)絡(luò)瀏覽器。

Cardbleed（最初由Sansec記錄）通過(guò)使用特定域與Magento管理面板進(jìn)行交互，然后利用“Magento Connect”功能下載并安裝一個(gè)名為“mysql.php”的惡意軟件。在skimmer代碼被添加到“prototype.js”后，它會(huì)自動(dòng)刪除。

現(xiàn)在，根據(jù)RiskIQ的說(shuō)法，這些攻擊具有Magecart group 12組織的所有特征。

此外，剛剛提到的skimmer是Ant和Cockroach在2019年8月首次觀測(cè)到的skimmer的變體。

有趣的是，研究人員觀察到的其中一個(gè)域名（myicons[.]net）也與5月份的另一個(gè)活動(dòng)有關(guān)，在那個(gè)活動(dòng)中，一個(gè)Magento favicon文件被用來(lái)把skimmer隱藏在支付頁(yè)面上，并加載一個(gè)假的支付表單來(lái)竊取捕獲的信息。

但就在惡意域名被識(shí)別時(shí)，Magecart group 12已經(jīng)熟練地?fù)Q入了新的域名，以繼續(xù)進(jìn)行攻擊。

RiskIQ的研究人員表示:“自從Cardbleed行動(dòng)被公開(kāi)以來(lái)，攻擊者已經(jīng)重組了他們的基礎(chǔ)設(shè)施?！薄八麄冮_(kāi)始從ajaxcloudflare[.]com裝載skimmer，并將滲透轉(zhuǎn)移到最近注冊(cè)的域console..in中?！?/p>

RiskIQ威脅研究人員Jordan Herman表示，“升級(jí)到Magento 2是一種特別的緩解措施，盡管升級(jí)的成本可能會(huì)讓較小的供應(yīng)商望而卻步?！?/p>

他補(bǔ)充說(shuō)，“還有一家名為Mage One的公司也在繼續(xù)支持和修補(bǔ)Magento 1。他們發(fā)布了一個(gè)補(bǔ)丁來(lái)緩解攻擊者在10月底利用的特殊漏洞。所以，防止這類攻擊的最好方法是讓電子商店在其網(wǎng)站上運(yùn)行完整的代碼清單，這樣他們就可以識(shí)別出軟件的棄用版本，以及任何其他可能引發(fā)Magecart攻擊的漏洞”。

消息來(lái)源：The Hacker News?；封面來(lái)自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/