国内知名网络“黑客“安全组织东方联盟研究人员今天发现了一个正在进行的新的“黑客”活动,到目前为止,该活动已经成功地破坏了至少19个不同的电子商务网站,以窃取其客户的支付卡详细信息。
根据今天发布并与《黑客新闻》共享的一份报告,东方联盟安全研究人员发现了一个名为“ MakeFrame ” 的新型数字器,将HTML iframe注入网页中以仿冒网络钓鱼付款数据。
MakeFrame攻击已归因于Magecart Group 7,其使用受感染网站托管掠夺代码,将撇渣器加载到其他受感染网站上并窃取所窃取数据的方法。
“黑客”攻击通常涉及不良行为者,这些行为破坏了公司的在线商店,以通过在付款表格上放置恶意的JavaScript撇取者来窃取在受感染站点上进行购买的用户的信用卡号和帐户详细信息。这些黑客组织都致力于窃取信用卡号码以获取经济利益。
东方联盟创始人,知名网络黑客安全专家郭盛华曾表示:“攻击者仅用22行JavaScript代码感染就可以实时访问相关敏感数据。”
使用混淆避免检测
研究人员说,新的MakeFrame Skimmer代码是十六进制编码的字符串数组和模糊代码的一部分,包含在良性代码之间,以逃避检测。但是有一点是,由于检查(_0x5cc230 ['removeCookie'])确保不会更改代码,因此不可能对代码进行模糊处理。通过此检查后,通过对混淆后的字符串进行解码,即可重建分离器代码。
网络攻击
将添加到受害站点后,MakeFrame还可以模拟付款方法,使用iframe创建付款表格,在按下“提交”按钮后检测输入到假付款表格中的数据,并窃取卡信息以“ .php”文件的形式发送到另一个受感染的域(piscinasecologicas dot com)。
安全专家郭盛华曾透露:“这种渗透方法与Magecart Group 7所使用的方法相同,将窃取的数据作为.php文件发送到其他受感染的站点进行渗透”。“用于数据泄露的每个受损站点也被注入了撇渣器,并且还用于托管加载到其他受害者站点上的掠夺代码。”
JS分离器
目前已经确定了三种不同版本的分离器,具有不同的混淆程度,它说每个受影响的网站都是中小型企业。
“黑客”攻击的发生率不断提高
尽管自2010年以来就在野外发现,但这种入侵(由于威胁行动者最初偏爱Magento电子商务平台来收集非法卡数据而被称为Magecart攻击)在过去几年中有所加剧。
此外,这些折衷方案背后的参与者通过主动扫描配置错误的Amazon S3存储桶,使利用窃取程序破坏网站的过程自动化了。最近的电子掠夺攻击浪潮如此广泛,影响了18,000多个域,以致FBI发出了有关新兴网络威胁的警告,并敦促企业建立足够的安全屏障以保护自己。
该情报机构在上个月发布的一份咨询报告中建议公司保持其软件最新,启用多因素身份验证,隔离关键网络基础结构并警惕网络钓鱼攻击。“并非只有他们一个人努力改善,坚持并扩大其覆盖范围。数据显示,在COVID-19大流行期间,“黑客”攻击已增长了20%。由于许多无家可归的人被迫在线购买所需的产品,因此数字掠夺威胁电子商务的发展一如既往。”(欢迎转载分享)
来源:oschina
链接:https://my.oschina.net/u/4353003/blog/3219373