聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

原文《2800 多家電子商店因運行過時的 Magento 軟件受到信用卡黑客的攻擊》

最新研究顯示，今年9月初，針對運行Magento 1.x電子商務(wù)平臺零售商的網(wǎng)絡(luò)攻擊是由一個攻擊組織發(fā)起的。

RiskIQ在11月11日發(fā)表的一份報告中說：“這個組織實施了大量不同種類的Magecart攻擊，這些攻擊通常通過供應(yīng)鏈攻擊（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量網(wǎng)站?！?/p>

這些攻擊被統(tǒng)稱為CardBleude，針對至少2806多家Magento 1.x的在線商店，這些商店在2020年6月30日已經(jīng)停止使用。

Magecart是針對在線購物系統(tǒng)的不同黑客團體的聯(lián)合體，在購物網(wǎng)站上注入電子竊取程序以竊取信用卡詳細信息是Magecart已實踐過的作案手法。

其攻擊被稱為formjacking攻擊，攻擊者通常會在支付頁面上偷偷將JavaScript代碼插入到電子商務(wù)網(wǎng)站中，以實時捕獲客戶卡的詳細信息并將其傳輸?shù)竭h程攻擊者控制的服務(wù)器。

但在最近幾個月中，Magecart組織加大了攻擊，他們將代碼隱藏在圖像元數(shù)據(jù)中，甚至進行了IDN同形攻擊，以隱藏在網(wǎng)站的favicon文件中的網(wǎng)絡(luò)瀏覽器。

Cardbleed（最初由Sansec記錄）通過使用特定域與Magento管理面板進行交互，然后利用“Magento Connect”功能下載并安裝一個名為“mysql.php”的惡意軟件。在skimmer代碼被添加到“prototype.js”后，它會自動刪除。

現(xiàn)在，根據(jù)RiskIQ的說法，這些攻擊具有Magecart group 12組織的所有特征。

此外，剛剛提到的skimmer是Ant和Cockroach在2019年8月首次觀測到的skimmer的變體。

有趣的是，研究人員觀察到的其中一個域名（myicons[.]net）也與5月份的另一個活動有關(guān)，在那個活動中，一個Magento favicon文件被用來把skimmer隱藏在支付頁面上，并加載一個假的支付表單來竊取捕獲的信息。

但就在惡意域名被識別時，Magecart group 12已經(jīng)熟練地換入了新的域名，以繼續(xù)進行攻擊。

RiskIQ的研究人員表示:“自從Cardbleed行動被公開以來，攻擊者已經(jīng)重組了他們的基礎(chǔ)設(shè)施。”“他們開始從ajaxcloudflare[.]com裝載skimmer，并將滲透轉(zhuǎn)移到最近注冊的域console..in中?！?/p>

RiskIQ威脅研究人員Jordan Herman表示，“升級到Magento 2是一種特別的緩解措施，盡管升級的成本可能會讓較小的供應(yīng)商望而卻步。”

他補充說，“還有一家名為Mage One的公司也在繼續(xù)支持和修補Magento 1。他們發(fā)布了一個補丁來緩解攻擊者在10月底利用的特殊漏洞。所以，防止這類攻擊的最好方法是讓電子商店在其網(wǎng)站上運行完整的代碼清單，這樣他們就可以識別出軟件的棄用版本，以及任何其他可能引發(fā)Magecart攻擊的漏洞”。

消息來源：The Hacker News?；封面來自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/