RiskIQ透露���,被追蹤為“第7組” 的Magecart威脅一直在使用分離器創(chuàng)建iframe來竊取支付卡數(shù)據(jù)�。
自一月以來����,觀察到了各種形式的分離器,具有不同程度的混淆�,迄今已確定了19個不同的受害者站點(diǎn)。在某些情況下����,受感染的網(wǎng)站被濫用來托管撇取代碼,將代碼加載到受感染的網(wǎng)站上���,并竊取被盜數(shù)據(jù)��。
RiskIQ將其稱為MakeFrame的分離器具有十六進(jìn)制編碼的字符串和多層混淆功能��,以及采用了對美化工具進(jìn)行檢查的反分析技術(shù)(可使威脅分析人員更容易閱讀代碼)�����。如果代碼已被美化�����,則無法正確執(zhí)行����。
“這項(xiàng)檢查意味著研究人員如果想對代碼進(jìn)行模糊處理�����,就必須處理它們�����! 對于經(jīng)歷過混淆處理的分析師而言�,這只會花費(fèi)更多時間�。對于那些不熟悉的人��,這可能會阻止他們弄清楚代碼在做什么���������! RiskIQ解釋說��。
對惡意代碼的分析揭示了直接引用創(chuàng)建iframe來瀏覽支付數(shù)據(jù)的對象���。創(chuàng)建iframe���,以便受害者將付款數(shù)據(jù)輸入其中。調(diào)用一個特定的功能來格式化偽造的付款表格���,而另一個則創(chuàng)建“提交”按鈕��。
因此�,如果受害者填寫了表格���,然后按下“提交”按鈕����,則卡片數(shù)據(jù)將被略讀。
RiskIQ的安全研究人員發(fā)現(xiàn)了三種截取器的不同版本����,包括運(yùn)行調(diào)試過程的開發(fā)中版本,甚至包括版本號���。
觀察到該撇渣器托管在迄今為止確定的所有19個受感染域中���,并且被盜數(shù)據(jù)已發(fā)送到同一服務(wù)器或另一個受感染的域���。
“這種滲透方法與Magecart Group 7使用的方法相同��,將竊取的數(shù)據(jù)作為.php文件發(fā)送到其他受感染的站點(diǎn)進(jìn)行滲透����。研究人員解釋說��,每個用于數(shù)據(jù)泄露的受損站點(diǎn)也被注入了撇渣器�����,并且還用于托管加載到其他受害站點(diǎn)上的掠奪代碼。
在技術(shù)和代碼構(gòu)造上的相似之處使RiskIQ得出結(jié)論�����,認(rèn)為Magecart Group 7在新分離器的背后���。
研究人員還能夠?qū)⒎蛛x器鏈接到運(yùn)行Debian�,Apache和OpenSSH的兩個IP�,這兩個IP由法國云計算和網(wǎng)絡(luò)托管公司Online SAS擁有。
在當(dāng)前的COVID-19大流行中���,Magecart攻擊事件增加了20%�,這可能是由于人們在家工作導(dǎo)致在線購物的增加����。
“來自第7組的最新分離器說明了他們的不斷發(fā)展,磨練久經(jīng)考驗(yàn)的真實(shí)技術(shù)并一直在開發(fā)新技術(shù)�����。他們并不是一個人努力改善�����,堅(jiān)持和擴(kuò)大自己的影響力��! RiskIQ指出���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
