交流评论、关注点赞

  • Facebook Icon脸书专页
  • telegram Icon翻墙交流电报群
  • telegram Icon电报频道
  • RSS订阅禁闻RSS/FEED订阅

Magecart 组织正在开展针对电子商务的大规模供应链攻击

2018年10月23日 16:22 PDF版 分享转发

来源:

RiskIQ 披露了针对 Shopper Approved(一个在数千个网站集成的客户评级插件)的大规模 Magecart 攻击

在过去的几个月里,RiskIQ 发布了四份关于 Magecart 数字信用卡窃取行动的报告,其中主要针对 Ticketmaster,British Airways 和 Newegg 等重大漏洞。每一份报告中都注意到,Magecart 下的六个小组已经加强了他们的行动,在每次攻击中变得更加聪明,并且在许多情况下变得更加复杂。

然而,Magecart 行动的一个特别之处是,由于对大多数电子商务网站上运行的代码普遍缺乏可见性,网站所有者和消费者通常不知道第三方在结帐页面上的代码,并且在消费者输入付款信息之前,已被 Magecart 的 skimmer 所破坏。

在这篇博客中,我们披露了针对 Shopper Approved 的另一个大规模 Magecart 攻击,这是一个在数千个电子商务网站集成的客户评级插件。如果没有 RiskIQ 快速检测和通知,其趋势就不会如此缓慢。下面我们将提供对此新攻击的分析,并提供 Magecart 攻击者何时添加 skimmer、添加到何处以及受影响网站范围的详细信息。

一、调查

Ad:美好不容错过,和家人朋友一起享受愉快时光,现在就订票

与针对 Ticketmaster 的攻击类似,此攻击不会直接影响单个商店。相反,它试图通过破坏广泛使用的第三方插件来同时从多个在线商店中略过付款信息。在这种情况下,攻击者感染了 Shopper Approved,这是一个为在线商店提供评级服务的机构。

9月15日清晨,RiskIQ 收到关于 Magecart 的事件通知。虽然每小时都会收到通知,但此域名(以及受影响的网址)引起了 RiskIQ 的注意。这是事件详细说明:

打开数据中的关联页面,立即在代码中看到 Magecart skimmer。下面是 Shopper Approved 的正常 certificate.js 文件的样子:

这是相同的脚本,但我们的事件中添加了 Magecart skimmer:

这次攻击的一个有趣之处是,上面的截图不是攻击者第一次插入时 skimmer 的样子(他们犯了一个错误)!在格林尼治标准时间9月15日04:35:07,攻击者修改了 certificate.js 脚本以包含后面看起来像这样的 skimmer:

差不多15分钟后,攻击者们在格林威治标准时间 04:49:59 回来并再次修改脚本,使其看起来像之前截图中显示的那样。他们第一次忘记了对他们的 skimmer 进行了混淆,这是一个小小的错误,但是它允许我们查看干净的 skimmer 代码,这是一个很好的参考点。

还有一点需要注意的是,最近 Feedify 也受到了感染,并且还在他们的脚本中放置了一个 skimmer,它使用了与 Shopper Approved 攻击中使用的相同的服务器(卡被发送到的地方):info-stat.we。

二、Shopper Approved 的外延与清理

一旦在 Shopper Approved 上检测到 Magecart skimmer,我们就会通过电子邮件,电话,甚至 LinkedIn 与他们联系,看看我们是否可以帮助他们提供补救信息。

9月17日星期一格林尼治标准时间15:03:01,skimmer 代码从网站密封脚本中删除。从那时起,经常与 Shopper Approved 进行接触,该公司聘请了一家领先的取证公司帮助了解这是如何发生的,以及会受到什么影响。并且还开展了全面的内部调查。

需要注意的一点是受影响的网站数量。虽然 Shopper Approved 在数千个网站上处于活跃状态,但只有一小部分客户受到影响。我们认为有三个关键因素导致了其影响范围:

1. 越来越多的着名购物车,如 Shopify 和 BigCommerce,正在积极阻止第三方脚本在结帐页面上显示。

2. 大多数 Shopper Approved 的客户在其实际结帐页面上没有受影响的脚本。

3. skimmer 代码仅查找URL中具有特定关键字的结帐页面,并且不会影响没有包含这些关键字的页面。

最后一个问题,这或许可以帮助限制未来 Magecart 攻击的范围。许多网站使用 CDN 服务进行缓存,我们注意到,通常将 skimmer 代码缓存在 CDN 中,并在从受影响的站点清除 skimmer 后很长时间内保持活动状态。作为网站所有者,请确保在机构被这样的 skimmer 击中后清除正在执行的任何缓存

三、总结

Magecart 组织正在对电子商务进行全面攻击,并且没有停止的迹象。随着该组织不断的学习如何提高效率,这些攻击只会越来越多。虽然最初的攻击涉及低级 Magento 商店,但后来的攻击针对的是 CDN,以增加其覆盖范围。现在,Magecart 的运营人员已经学会调整受感染的 CDN,以确保他们所击中的唯一目标网站是在线商店。为了实现他们的目标,他们追踪任何分析公司,CDN 或任何为电子商务网站提供功能的服务。

明智之举:如果您拥有一家电子商务公司,最好尽可能从结帐页面中删除第三方代码。许多支付服务提供商已采用这种方法,禁止第三方代码在客户输入其支付信息的页面上运行

喜欢、支持,请转发分享↓Follow Us 责任编辑:林玲