通过被黑的广告供应链开展新的Magecart攻击

栏目: 后端 · 发布时间: 5年前

内容简介:1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码(检测为Downloader.JS.TRX.XXJSE9EFF010)。这些活动很不寻常,因为该组织以将代码注入一些受到侵害的电子商务网站而闻名,然后在我们的监控过程中保持低调

1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码(检测为Downloader.JS.TRX.XXJSE9EFF010)。

这些活动很不寻常,因为该组织以将代码注入一些受到侵害的电子商务网站而闻名,然后在我们的监控过程中保持低调。对这些活动的进一步研究表明,skimming代码并未直接注入电子商务网站,而是直接注入法国在线广告公司 Adverline 的第三方JavaScript库,我们已及时与其取得联系。Adverline处理了这一事件,并与CERT La Poste立即开展了必要的补救措施。

通过被黑的广告供应链开展新的Magecart攻击

图1:在线skimming攻击的攻击链

通过被黑的广告供应链开展新的Magecart攻击

通过被黑的广告供应链开展新的Magecart攻击

图2:访问恶意的web-skimming活动的时间表(上);从1月1日到1月6日(下部)访问国家分布情况。注释:来自趋势科技™云安全智能防护网络™的数据

鉴于攻击的目标针对第三方服务,我们认为它们来自Magecart Group 5,RiskIQ报告称其与几个数据泄露事件有关,例如去年针对Ticketmaster的事件。在RiskIQ的安全研究员 Yonathan Klijnsma 的帮助下,我们确定这些web-skimming活动是由Magecart Group 12进行的,Magecart Group 12是一个新的Magecart组织。

Magecart Group 12的攻击链

与直接危害目标购物车平台的其他在线skimmer组织不同,Magecart Groups 5和12通过向JavaScript库注入skimming代码来攻击电子商务网站使用的第三方服务。这使得嵌入脚本的所有网站都可以加载skimming代码。定位第三方服务还有助于扩大其覆盖范围,从而允许他们窃取更多数据。

在Adverline的案例中,代码被注入JavaScript库以重新定位广告。这是电子商务网站使用的一种方法,在这些网站上对访问者进行标记,以便提供可以吸引他们回到网站的特定广告。在我们研究的时候,嵌入了Adverline重定向脚本的网站加载了Magecart Group 12的skimming代码,这些代码反过来窃取在网页上输入的支付信息,然后将其发送到远程服务器。

通过被黑的广告供应链开展新的Magecart攻击

图3:Magecart Group 12向恶意电子商务网站注入的恶意代码

通过被黑的广告供应链开展新的Magecart攻击

图4:Adverline重定向脚本中注入的恶意代码,旨在加载skimming代码(突出显示)

Skimming Toolkit略读 工具

Magecart Group 12使用了一个skimming工具包,其中包括两个混淆脚本。第一个脚本主要用于反逆向,而第二个脚本是主要的数据skimming代码。它们还包括代码完整性检查,用于检测脚本是否已修改。通过计算脚本部分的哈希值来完成检查,如果发现脚本与原始哈希不匹配,则停止执行脚本。

通过被黑的广告供应链开展新的Magecart攻击

图5:负责完整性检查的工具包脚本中的代码快照(反混淆)

该脚本还不断清理浏览器调试器控制台消息以阻止检测和分析。其指纹识别程序的一部分包括检查脚本是否在移动设备上运行(通过检查浏览器User-Agent)以及是否有处理程序检查浏览器调试器是否已打开。指纹识别例程确认浏览器会话来自实际的消费者。

通过被黑的广告供应链开展新的Magecart攻击

图6:负责指纹识别的工具包中的一个脚本的代码快照(反混淆)

Skimming付款数据

第二个脚本,主要的skimming代码,首先检查它们是否在购物网站上执行,检测URL中的相关字符串,如“结账”,“结算”和“购买”等。同样值得注意的是字符串“panier”,意思是法语中的“basket”,德语中的“kasse”或“checkout”。图2显示我们的大多数检测(访问Magecart Group 12控制域名)都在法国,当然在德国也有明显的活动。

如果它在URL中检测到任何目标字符串,则脚本将开始执行skimming行为。一旦在网页的输入表单上输入值而不是空,该脚本将复制表单名称和用户键入的值。被盗的付款和结算数据存储在 JavaScript LocalStorage 中,key值为Cache。复制的数据是Base64编码的。它还会生成一个随机数来指定个别受害者,并将其保留到LocalStorage中,key值为E-tag。只要用户关闭或刷新付款网页,就会触发JavaScript事件“ unload ”。然后,脚本通过HTTP POST将skimmed的支付数据,随机数(E-tag)和电子商务网站的域名发送到远程服务器,并在整个发送过程中进行Base64编码。

通过被黑的广告供应链开展新的Magecart攻击

图7:攻击中使用的主要支付数据 – skimming代码(反混淆)

这些攻击进一步证明了保护运行网站、应用程序或Web应用程序的基础架构的重要性,尤其是那些存储和管理敏感数据的基础架构。定期打补丁和更新软件;禁用、限制或保护过时的组件或第三方插件;并加强证书或认证机制。 IT和安全团队还应主动监控其网站或应用程序是否存在恶意活动迹象,例如未经授权的访问和修改、数据泄露以及未知脚本的执行。

RiskIQ的分析( analysis )进一步揭示了Group 12活动与Magecart的相关性。

IoCs:

Skimming 脚本(SHA-256):

· 56cca56e39431187a2bd95e53eece8f11d3cbe2ea7ee692fa891875f40f233f5

· f1f905558c1546cd6df67504462f0171f9fca1cfe8b0348940aad78265a5ef73

· 87ee0ae3abcd8b4880bf48781eba16135ba03392079a8d78a663274fde4060cd

· 80e40051baae72b37fee49ecc43e8dded645b1baf5ce6166c96a3bcf0c3582ce

相关恶意域名:

·givemejs[.]cc

· content-delivery[.]cc

·cdn-content[.]cc

·deliveryjs[.]cc


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

结网@改变世界的互联网产品经理

结网@改变世界的互联网产品经理

王坚 / 人民邮电出版社 / 2013-5-1 / 69.00元

《结网@改变世界的互联网产品经理(修订版)》以创建、发布、推广互联网产品为主线,描述了互联网产品经理的工作内容,以及应对每一部分工作所需的方法和工具。产品经理的工作是围绕用户及具体任务展开的,《结网@改变世界的互联网产品经理(修订版)》给出的丰富案例以及透彻的分析道出了从发现用户到最终满足用户这一过程背后的玄机。新版修改了之前版本中不成熟的地方,强化了章节之间的衔接,解决了前两版中部分章节过于孤立......一起来看看 《结网@改变世界的互联网产品经理》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器