前言
之前就曾报导过关于Magecart数字信用卡撇取活动的报告-主要针对Ticketmaster,British Airways和Newegg等重大漏洞。在每一份出版物中,都可以注意到Magecart下的六个小组已经加强了他们的行动,在每次攻击中变得更加聪明,并且在许多情况下变得更加复杂。
然而,Magecart活动的一个特别成问题的方面是,由于对大多数电子商务网站上运行的代码的普遍缺乏可见性,网站所有者和消费者通常不知道第三方在该结帐页面上的代码,因为输入付款信息时已被Magecart的略读代码所破坏。
区块链安全咨询公司 曲速未来 表示:下面披露了可能是针对Shopper Approved的另一个大规模Magecart攻击,这是一个与数千个电子商务网站集成的客户评级插件,并且它不是针对最近的一些行业趋势以及快速检测和通知通过RiskIQ。对此新攻击分析了并提供Magecart攻击者何时添加撇渣器,添加撇渣器以及受影响网站范围的详细信息。
调查
与针对Ticketmaster的攻击类似,此攻击不会直接影响单个商店。相反,它试图通过破坏广泛使用的第三方来同时从多个在线商店中略过付款信息。在这种情况下,演员妥协了Shopper Approved,这是一个为在线商店提供评级印章的组织。
9月15日清晨,RiskIQ收到关于Magecart的事件通知。是它的域名(以及受影响的网址)引发了注意。这是事件详细说明:
打开爬网数据中的关联页面,就立即在代码中看到Magecart收油机。以下是Shopper Approved的正常certificate.js文件的样子:
这是相同的脚本,但安全研究人员的事件中添加了Magecart撇渣器:
这次攻击的一个有趣的方面是上面的截图不是当演员第一次插入时撇渣器的样子-他们犯了一个错误!在格林尼治标准时间9月15日04:35:07,演员修改了certificate.js脚本以包含后面看起来像这样的撇渣器:
差不多15分钟后,演员们在格林威治标准时间04:49:59回来并再次修改剧本,使其看起来像之前截图中显示的那样。他们第一次忘记了对他们的分离器进行了混淆,这是一个小小的错误,但是却允许查看干净的分离器代码。
还有一点需要注意的是,最近Feedify也受到了损害,并且还在他们的脚本中放置了一个撇渣器,它使用了与购物者批准的攻击中使用的相同的丢弃服务器(卡被发送到的地方):info-stat .ws。
购物者批准的外展和清理
一旦在Shopper Approved上检测到Magecart收油机,就会通过电子邮件,电话甚至LinkedIn与他们联系,看看这样是否可以帮助他们提供补救信息。
9月17日星期一格林尼治标准时间15:03:01,撇渣器代码从网站密封脚本中删除。
需要注意的一点是受影响的网站数量。虽然Shopper Approved在数千个网站上处于活跃状态,但只有一小部分客户受到影响。所以认为有三个关键因素导致了这种有限的影响:
- 越来越多的着名购物车,如Shopify和BigCommerce,正在积极阻止第三方脚本被允许在结帐页面上显示。
- 大多数购物者批准的客户在其实际结帐页面上没有受影响的脚本,并且
- 撇渣器代码仅查找URL中具有特定关键字的结帐页面,并且不会影响不包含这些关键字的页面。
曲速未来 指出,其中的意识可以帮助限制未来Magecart攻击的范围。许多网站使用CDN服务进行缓存,还注意到,通常将撇渣器代码缓存在CDN中,并在从受影响的站点清除撇渣器后很长时间内保持活动状态。
结论
Magecart集团正在对电子商务进行全面攻击,并且没有停止的零迹象。随着小组学习如何提高效率,这些攻击只会越来越多。虽然最初的攻击涉及低级Magento商店,但后来的攻击针对的是CDN,以增加其覆盖范围。现在,Magecart的工作人员已经学会调整他们妥协的CDN,以确保他们所击中的唯一网站是在线商店。为了实现他们的目标,他们将追踪任何分析公司,CDN或任何为电子商务网站提供功能的服务。
区块链安全咨询公司 曲速未来 提醒:如果您拥有一家电子商务公司,最好尽可能从结帐页面中删除第三方代码。许多支付服务提供商已采用这种方法,禁止第三方代码在客户输入其支付信息的页面上运行。