MageCart脚本再“出手”,Newegg信息泄露月余

MageCart脚本再“出手”,Newegg信息泄露月余

此前英国航空公司(British Airlines)和Feedify网站被植入恶意MageCart脚本以盗刷用户信息,同样的招数再次出现,这一次的受害者是最大的在线技术零售商之一Newegg。Magecart会对一些在线用户支付网站注入脚本,或入侵一些支付相关的第三方供应商网站,以此来窃取用户数据。该脚本自2016年5月首次出现,就将其攻击目标瞄准为各类电子商务平台。

MageCart脚本再“出手”,Newegg信息泄露月余

网络安全公司RisqIQ和Volexity今天发布的两份报告中详细说明了MageCart脚本如何在一个多月前植入Newegg网站,同时暗地窃取客户的付款信息。

报告中称攻击者于8月13日创建了一个域名为neweggstats.com的站点。该站点被用来收集从Newegg网站上窃取的信用卡详细信息,之后可随时丢弃该站点。Veloxity 的报告中进一步指出,这波针对Newegg网站的攻击发生在8月16日左右。

“通过其全球传感器网络,Volexity在攻击发生后的3天,也就是2018年8月16日确认了通过Newegg发生的攻击,”Veloxity在他们的报告中说,“基于Volexity传感器网络获得的数据,该MageCart恶意攻击代码可能是在15:45和20:20(世界标准时间,UTC)之间被植入的。攻击者可能在更早些时候就开始了攻击,但是Volexity对当天与Newegg交易的各个网络进行了排查,发现直到目前为止,还没有窃取的数据被反馈到neweggstats.com上。”

Newegg是技术组件、计算机和硬件领域最大的在线零售商之一,因此可以估计的是,受此次攻击影响的受害者数量可能相当庞大。

“作为一个非常受欢迎的零售商,2016年Newegg的业务规模为26.5亿美元,”安全研究员Yonathan Klijnsma在RiskIQ博客文章中指出了这一攻击,“Alexa排名显示,Newegg在美国最受欢迎的网站排名中位列第161位。Similarweb收集的数据显示,Newegg每月的访问人数超过了5000万。通过这一个多月来的调查浏览,我们可以预计的是这次大规模攻击会给大量的用户带来影响。”

MageCart脚本再“出手”,Newegg信息泄露月余

MageCart脚本如何窃取Newegg用户的信用卡信息

此前Magecart脚本攻击的感染过程分为两个阶段,第一阶段脚本检查用户是否处于结账页面。只有用户处于每个平台的付款页面时,Magecart脚本才能进行第二阶段,加载实际的键盘记录器组件。第二阶段的组件也是通过JavaScript脚本,记录用户在表单字段中输入的内容,并将收集到的数据发送到攻击者控制的远程服务器。

如果付款页面表单中不包含攻击者想要收集的所有信息,Magecart可以在付款页面添加输入字段收集想要的信息。

此次针对Newegg用户的攻击也有类似之处。当用户在Newegg购买商品时,他们首先会被要求填写收货信息,然后跳转至付款页面,输入支付信息。在这个Newegg采集付款信息的页面上,注入了下面显示的15行MageCart脚本。

MageCart脚本再“出手”,Newegg信息泄露月余

MageCart脚本(来源:RiskIQ

当页面加载时,该脚本将与用户输入信用卡详细信息后点击的按钮绑定在一起,一旦点击该按钮,也就相当于激活了该脚本。之后,脚本就会窃取用户填写表单的内容,并将其转换为JSON格式,然后上载至站点https://neweggstats.com/GlobalData/。

MageCart脚本再“出手”,Newegg信息泄露月余

不过,这个neweggstats.com网站并不归Newegg所有,而是由攻击者后台操作的。因此他们可以窃取网站被攻击期间,那些从Newegg上购买商品的顾客的信用卡详细信息。然而对于用户而言,他们对此一无所知,只会继续购买商品,就像没有发生过任何事情一样。

采取措施免受MageCart的侵害

安全研究员的建议

随着像MageCart这样的脚本被越来越多的用来窃取信用卡详细信息,RiskIQ研究员Yonathan Klijnsma就电子商务网站运营商如何更好地保护自己免受这些类型的恶意脚本攻击给出了一些建议。

Klijnsma指出,保护非常困难,主要是因为攻击者采取的攻击途径太过丰富。尽管如此,Klijnsma还是在推特上提到了一些方法来配置支付表单和提交流程,以防MageCart这类的脚本窃取付款细节。

MageCart脚本再“出手”,Newegg信息泄露月余

Klijnsma的方法:将表单和输入字段名/ID随机化,在处理支付校验时,通过服务器上的会话信息将这些输入信息映射回来。

Newegg向客户发送道歉电子邮件

Newegg已经开始发送电子邮件,向他们的客户就此次攻击道歉并解释攻击情况。根据Newegg的CEO Danny Lee发送的电子邮件,该公司将创建一个关于此次攻击事件的常见问题问答板块,并于周五之前在其官网上推出。

MageCart脚本再“出手”,Newegg信息泄露月余

Newegg给用户的道歉信

电子邮件的内容大意如下:

MageCart脚本再“出手”,Newegg信息泄露月余

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113688.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code