Magecart組織自2015年以來(lái)一直活躍，并且入侵了許多電子商務(wù)網(wǎng)站，竊取了支付卡和其他敏感數(shù)據(jù)。該組織在目標(biāo)網(wǎng)站中注入一個(gè)skimmer（信息讀?。┠_本來(lái)讀取支付卡數(shù)據(jù)，一旦攻擊者成功破壞了網(wǎng)站，它就會(huì)在HTML模板中添加嵌入的Javascript。

該腳本會(huì)收集支付卡卡號(hào)、到期日、信用卡CVV / CVC驗(yàn)證碼，以及持卡人的姓名、地址、電話號(hào)碼和電子郵件。Magecart組織目前仍在不斷發(fā)展。它曾對(duì)Ticketmaster、British Airways、OXO和Newegg這樣的知名國(guó)際公司發(fā)起過(guò)攻擊，小型零售商也難逃厄運(yùn)，諸如Amerisleep和MyPillow這樣的公司也是受害者。

今年4月初發(fā)現(xiàn)2440個(gè)被入侵的網(wǎng)站，這些網(wǎng)站都被感染了Magecart的支付卡讀取腳本。除Group-IB之外， Magecart發(fā)起的每一起攻擊事件中，都會(huì)檢測(cè)到更多未經(jīng)披露的攻擊，其中很大一部分涉及第三方支付平臺(tái)。

4月下旬，發(fā)現(xiàn)數(shù)百家Magento商店被注入了在GitHub存儲(chǔ)庫(kù)上托管的支付卡讀取腳本，當(dāng)時(shí)Magecart組織也感染NBA球隊(duì)亞特蘭大老鷹隊(duì)的官方網(wǎng)上商城。

福布斯網(wǎng)址被攻擊
雖然目前仍然可以在福布斯網(wǎng)站（forbesmagazine.com）上找到經(jīng)混淆處理的Magecart腳本，但攻擊者用來(lái)收集被盜付款支付信息的域名已經(jīng)被Freenom的API刪除，此API可以立即刪除惡意域名。

研究人員發(fā)現(xiàn)的Magecart腳本的反混淆版本，該腳本顯示網(wǎng)絡(luò)犯罪分子收集的確切支付數(shù)據(jù)，以及他們接收這些竊取信息所使用的服務(wù)器地址。

攻擊者使用WebSocket協(xié)議對(duì)被盜的數(shù)據(jù)進(jìn)行過(guò)濾，其中WebSocket協(xié)議是一種計(jì)算機(jī)通信協(xié)議，允許在受控環(huán)境中運(yùn)行不受信任代碼的客戶端與其遠(yuǎn)程主機(jī)之間的雙向通信。

ice

收藏 海報(bào)分享