受损的广告公司向数百个网站提供Magecart略读代码

安全研究人员已经标记了属于Magecart的网络犯罪集团之一发起的新的基于Web的供应链攻击。

玛卡特供应链攻击

攻击者设法入侵了法国在线广告公司Adverline,该公司拥有以欧洲为重点的客户群,并将支付卡撇取代码注入其JavaScript库之一,以重新定位广告。

目标

“基于Web的供应链攻击使供应商经常提供通常用于添加或改善站点功能的代码,从而受到威胁。该代码与成千上万的网站集成在一起,因此,一旦受到破坏,使用该代码的所有客户的网站就会受到破坏,”RiskIQ研究人员Yonathan Klijnsma 解释.

趋势科技研究人员发现加载了恶意的掠夺代码“277个电子商务网站,提供票务,旅游和航班预订服务,以及来自知名化妆品,保健和服装品牌的自托管购物车网站”.

妥协和脚本

RiskIQ研究人员认为,发动此攻击的组织是一个相对较新的组织,以前仅进行了直接折衷。他们称其为Magecart 12。

该组织显然在2018年9月开始准备攻击基础设施,但Adverline的妥协于2018年12月底生效。

“Magecart第12组使用使用两个模糊脚本的撇取工具包。第一个脚本主要用于防逆转,而第二个脚本是主要的数据掠过代码。它们还包括代码完整性检查,用于检测脚本是否被修改。检查是通过计算脚本部分的哈希值来完成的,如果发现脚本与原始哈希不匹配,则停止执行脚本,”趋势科技研究人员 发现.

该脚本还会不断清除浏览器调试器控制台消息,以阻止检测和分析,并使用指纹例程来确认浏览器会话来自实际使用者。

主略读代码首先检查脚本是否在“Shopping cart”通过搜索通常在该类型的页面上找到的许多字符串来搜索该页面,例如,“purchase”, “cart”, “paiement” (“payment” in French), and “kasse” (“checkout” in German).

玛卡特供应链攻击

如果它检测到其中一个或多个,则会立即采取行动:它会窃取输入的付款和帐单数据,为其分配一个标识符,对其全部进行编码,然后使用 本地存储 访问者浏览器存储它的能力。

一旦关闭或刷新了付款网页,信息就会发送到犯罪分子操作的远程服务器。

善后

趋势科技已将妥协通知Adverline,该公司已“handled the incident” and “与CERT La Poste进行了必要的补救措施。”(Adverline由Le Groupe La Poste的子公司Mediapost拥有。CERTLa Poste是有关Le Groupe La Poste及其子公司的任何信息技术安全问题的主要公共联系人。)

RiskIQ试图删除与攻击有关的域,但发现由于DNS记录更改,它们已停止运行。

“但是,由于在撰写本文时,注册服务商尚未响应我们的删除请求,因此我们不知道攻击者是否仍然拥有对域的控制权以便以后继续攻击,” they noted.

不幸的是,最终用户可以’在防止此类信息被窃取方面应做很多事情。

禁用JavaScript是可行的,因为这些撇取者是JavaScript脚本,但是此举经常会破坏许多网站上的重要功能,并有可能阻止他们进行在线购买。

分享这个