Credit Card Skimmer Malware

Magento 作为一个领先的电子商务平台,再次成为复杂的网络犯罪手段的目标。来自 Sucuri 的安全分析师 Puja Srivastava 最近报告了一种恶意 JavaScript 注入行为,这种行为会危及 Magento 支持的网站。这种新型恶意软件操作隐蔽,以结账页面为目标,窃取敏感的支付信息。

该恶意软件会动态注入一个虚假的信用卡表单,或者直接劫持结账页面上的现有支付字段,这使得检测异常困难。斯里瓦斯塔瓦指出:“这种复杂的盗取程序以 Magento 结账页面为目标,通过注入虚假表单或提取实时输入字段来窃取敏感的支付数据。”这种动态激活可确保恶意脚本在非关键页面上保持休眠状态,从而避免不必要的检测。

Weston Henry 是在使用 Sucuri 的 SiteCheck 进行例行检查时发现该恶意软件的,它采用了先进的混淆技术。调查在两个主要位置发现了恶意代码:

前台 XML 文件:./app/design/frontend/Magento/[Redacted]/Magento_Theme/
layout/default.xml

数据库表: core_config_data

 

受感染的脚本会在包含 “checkout”(结账)字样的 URL 上激活,但不包括 “cart”(购物车),这体现了攻击者的精确性。

一旦激活,脚本就会利用 Magento 的 API 窃取敏感信息,如信用卡号、客户姓名、地址和账单数据。窃取的信息经过多层加密:

编码为 JSON
与密钥脚本进行 XOR 加密
为安全传输进行 Base64 编码

 

使用信标技术将加密的有效载荷发送到 staticfonts.com 的远程服务器。这种合法工具经常使用的隐蔽方法使恶意软件更难被发现。

攻击者利用的域名有 dynamicopenfonts.app 和 staticfonts.com,其中两个已经在 VirusTotal 上被标记。截至最新分析,已有 8 个网站受到感染,显示了该活动的活跃性和持续性。

Srivastava 建议:“定期安全审计、监控异常活动和部署强大的 WAF 对保护您的电子商务平台至关重要。”此外,还建议企业保持警惕,监控未经授权的更改,并定期更新平台以减少漏洞。

文章原文链接:https://www.anquanke.com/post/id/302287