信用卡盗刷恶意软件曝光: 针对 Magento 结账页面

阅读量42910

发布时间 : 2024-11-29 10:35:03

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/credit-card-skimmer-malware-uncovered-targeting-magento-checkout-pages/

译文仅供参考,具体内容表达以及含义原文为准。

Credit Card Skimmer Malware

Magento 作为一个领先的电子商务平台,再次成为复杂的网络犯罪手段的目标。来自 Sucuri 的安全分析师 Puja Srivastava 最近报告了一种恶意 JavaScript 注入行为,这种行为会危及 Magento 支持的网站。这种新型恶意软件操作隐蔽,以结账页面为目标,窃取敏感的支付信息。

该恶意软件会动态注入一个虚假的信用卡表单,或者直接劫持结账页面上的现有支付字段,这使得检测异常困难。斯里瓦斯塔瓦指出:“这种复杂的盗取程序以 Magento 结账页面为目标,通过注入虚假表单或提取实时输入字段来窃取敏感的支付数据。”这种动态激活可确保恶意脚本在非关键页面上保持休眠状态,从而避免不必要的检测。

Weston Henry 是在使用 Sucuri 的 SiteCheck 进行例行检查时发现该恶意软件的,它采用了先进的混淆技术。调查在两个主要位置发现了恶意代码:

  1. 前台 XML 文件:./app/design/frontend/Magento/[Redacted]/Magento_Theme/
  2. layout/default.xml
    数据库表: core_config_data

 

受感染的脚本会在包含 “checkout”(结账)字样的 URL 上激活,但不包括 “cart”(购物车),这体现了攻击者的精确性。

一旦激活,脚本就会利用 Magento 的 API 窃取敏感信息,如信用卡号、客户姓名、地址和账单数据。窃取的信息经过多层加密:

  • 编码为 JSON
  • 与密钥脚本进行 XOR 加密
  • 为安全传输进行 Base64 编码

 

使用信标技术将加密的有效载荷发送到 staticfonts.com 的远程服务器。这种合法工具经常使用的隐蔽方法使恶意软件更难被发现。

攻击者利用的域名有 dynamicopenfonts.app 和 staticfonts.com,其中两个已经在 VirusTotal 上被标记。截至最新分析,已有 8 个网站受到感染,显示了该活动的活跃性和持续性。

Srivastava 建议:“定期安全审计、监控异常活动和部署强大的 WAF 对保护您的电子商务平台至关重要。”此外,还建议企业保持警惕,监控未经授权的更改,并定期更新平台以减少漏洞。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66