黑客组织用假谷歌域名注入多网卡侧取器窃取数据

金百利在线 ?

  雷锋网2天前我要分享

  雷锋网7月27日,安全人员发现攻击者使用伪造的谷歌域名来托管和加载Magecart信用卡读卡器脚本,这些脚本支持具有国际化域名(IDN)的多个支付网关。

站点所有者在将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击。经过仔细研究,Sucuri安全人员发现罪魁祸首是一个基于JavaScript的支付卡记录器,用于注入该网站。

使用IDN伪装成托管恶意内容的服务器是在网络钓鱼攻击期间使用的一种盲目方法,用于将来自恶意域的流量作为来自合法站点的数据包隐藏。

“我们的调查显示该网站感染了信用卡读卡器,并从恶意国际化域google-analyt?cs [。] com(或ASCII中的xn-google-analytcs-xpb [。] com)加载了JavaScript,”Sucuri的研究小组发现了。

据报道,攻击者使用加载的JavaScript注入卡片略读脚本,使用document.getElementsByTagName捕获任何输入数据,并使用输入或存储的元素名称捕获下拉菜单数据。

数据抓取

特别的是,如果它在访问者的Chrome或Firefox Web浏览器中检测到开发人员工具面板已打开,它将自动更改其行为。如果此检查结果为阳性。拆分器脚本不会将其捕获的任何数据发送到其命令和控制(C2)服务器以避免检测。

上述行为被称为Magecart的黑客组织使用。

正如安全分析中所发现的那样,Magecart记录器脚本可能会将其链接到几个月前由SanguineSecurity研究员WillemdeGroot发现的另一个类似的恶意工具。

在多线程加载器的帮助下,在注入受损的在线商店之后,发现的卡片浏览脚本deGroot能够收集来自世界各地的50多个不同的支付网关。显然,个人无法详细研究所有这些本地化支付系统,“DeGroot当时表示。

sidelogger Sucuri使用另一个欺骗性的谷歌域名来提供截获的支付信息,攻击者使用谷歌[。 ] SSL [。 ] Info报[。 ] ccIDN作为他们的exfiltration服务器。

Magecart Hacking Group是一个高度动态和有效的网络犯罪社区,自2015年以来一直存在,他们的活动在四年后一如既往地活跃起来。

它们代表着一种不断发展的网络威胁,其针对的是Amerisleep和MyPillow等小型零售商以及Ticketmaster,British Airways,OXO和Newegg等知名国际公司。

7月初,Magento安全研究公司SanguineSecurity发现了大规模的支付卡会外活动,并成功突破了962家电子商务商店。

5月,Magecart集团成功地将支付卡侧面阅读脚本注入PrismWeb支持的美国和加拿大数百家在线校园商店的结账页面。

Malwarebytes的安全研究员J R Me Segura发现,Magecart还参与了基于iframe的在线网络钓鱼系统的设计,该系统在同月晚些时候使用升级的信用卡盗窃脚本。

混淆计算机

收集报告投诉

雷锋新闻7月27日,安全人员发现攻击者使用伪造的谷歌域名,借助国际域名(IDN)来托管和加载支持多个支付网关的多媒体购物车信用卡端刻录机脚本。

该网站的所有者将其McAfee Site Advisor服务上的域名列入黑名单,并检测到该攻击。经过仔细研究,Sucuri安全人员发现,罪魁祸首是将基于JavaScript的支付卡侧录音机注入网站。

在网络钓鱼攻击期间,使用IDN来伪装托管恶意内容的服务器是一种盲目,这可以将来自恶意域的流量作为来自合法站点的数据包隐藏起来。

“我们的调查显示该网站感染了来自恶意国际域google-analyt的信用卡记录器?Cs [。] com(或ASCII [。] com中的xn-google-analytcs-xpb)加载JavaScript,”Sucuri的团队找到。

据报道,攻击者注入的卡片略读脚本使用加载的JavaScript,使用文件。 getElements ByTagName捕获任何输入数据,并使用输入或存储元素的名称来捕获下拉菜单数据。

数据抓取

特别的是,如果它在访问者的Chrome或Firefox Web浏览器中检测到开发人员工具面板已打开,它将自动更改其行为。如果此检查结果为阳性。拆分器脚本不会将其捕获的任何数据发送到其命令和控制(C2)服务器以避免检测。

上述行为被称为Magecart的黑客组织使用。

正如安全分析中所发现的那样,Magecart记录器脚本可能会将其链接到几个月前由SanguineSecurity研究员WillemdeGroot发现的另一个类似的恶意工具。

在多线程加载器的帮助下,在注入受损的在线商店之后,发现的卡片浏览脚本deGroot能够收集来自世界各地的50多个不同的支付网关。显然,个人无法详细研究所有这些本地化支付系统,“DeGroot当时表示。

sidelogger Sucuri使用另一个欺骗性的谷歌域名来提供截获的支付信息,攻击者使用谷歌[。 ] SSL [。 ] Info报[。 ] ccIDN作为他们的exfiltration服务器。

Magecart Hacking Group是一个高度动态和有效的网络犯罪社区,自2015年以来一直存在,他们的活动在四年后一如既往地活跃起来。

它们代表着一种不断发展的网络威胁,其针对的是Amerisleep和MyPillow等小型零售商以及Ticketmaster,British Airways,OXO和Newegg等知名国际公司。

7月初,Magento安全研究公司SanguineSecurity发现了大规模的支付卡会外活动,并成功突破了962家电子商务商店。

5月,Magecart集团成功地将支付卡侧面阅读脚本注入PrismWeb支持的美国和加拿大数百家在线校园商店的结账页面。

Malwarebytes安全研究员Jér?me Segura发现,在同一个月晚些时候,当使用升级的信用卡窃取程序脚本来设计基于iframe的网络钓鱼系统时,它也与Magecart有关。

Bleepingcomputer