更新时间:2026-01-28 03:02:44
开发经验
29网络犯罪分子已升级其信用卡窃取脚本,以使用基于iframe 的网络钓鱼系统,该系统旨在用于在结帐期间从Magento 支持的在线商店客户那里收集信用卡/借记卡信息。
Magecart 团队通常会将基于JavaScript 的支付数据窃取器注入到网站代码中,脚本会在后台收集和窃取支付信息,而客户甚至不会注意到。
在这种情况下,Malwarebytes 安全研究员Jérôme Segura 发现,犯罪分子将信用卡窃取脚本注入到被黑网站的每个页面中,并将其配置为弹出一个网络钓鱼表单,要求买家自行提供信息。
Magecart 组织利用网络钓鱼窃取信用卡数据并不是革命性的。早在2 月份,RiskIQ 威胁研究负责人Yonathan Klijnsma 在对Magecart Group 4 重叠支付网络钓鱼系统的分析中介绍,欺诈者用自己的支付形式替换了合法的支付形式。
然而,Segura one-ups Magecart Goup 4 的狡猾策略是通过在页面上显示信用卡钓鱼表单而被发现的,在该表单中,客户被重定向到支付服务提供商(PSP),在线商店永远不会向他们询问用户的支付信息,因为支付过程已外部化到PSP。
如果在结帐过程中给予足够的重视,客户仍然可以检测到黑客何时想要使用这种网络钓鱼方法窃取他们的信用卡信息,因为诈骗者没有删除“下订单时您将被重定向到PayuCheckout 网站”的消息,这至少会引发一些危险信号。
正如Segura 发现的那样,诈骗者使用这种基于iframe 的信用卡网络钓鱼脚本注入被黑的Magento 网站的所有页面,但网络钓鱼表单只会出现在商店的结账页面上。
黑客使用在Personal[.]com(在俄罗斯注册和托管的域名)上加载的模糊脚本攻击时创建的流氓iframe 来收集数据。
,通过对同一俄罗斯托管域的POST 请求,并在另一个混淆脚本的帮助下,验证网络钓鱼信用卡并将其发送到诈骗者的渗透服务器。
(撇渣器流量捕获)
Magecart 团队积极多元化目标被称为Magecart 组织的黑客组织自2015 年左右以来一直活跃,他们是一个不断发展的威胁,可以对Amerisleep 和MyPillow 等小型零售商以及Ticketmaster、英国航空公司、OXO 和Newegg 等知名国际公司发起攻击。
魔车的活动一如既往的活跃,而且很少出现低谷。作为证据,安全公司Group-IB 在4 月初发现了2,440 个受感染的网站,这些网站感染了Magecart Group 的支付数据。
正如Klijnsma 在一份详细介绍Magecart 活动扩展到OpenCart 和OSCommerce 商店的报告中所说,“对于每一次成为头条新闻的Magecart 攻击,我们都会检测到数千次我们未披露的攻击。这些鲜为人知的违规行为中有相当一部分涉及第三方支付平台。”
4 月下旬,Segura 还发现数百家Magento 商店注入了GitHub 托管的skimmer 脚本,而Magecart Group 还感染了Sanguine 安全研究员Willem de Groot 发现的NBA 亚特兰大老鹰队的在线商店。
5 月初,另一个团队支持了多态Magecart skimmer 脚本,该脚本内置了对世界各地57 个支付网关的支持,可以集成到几乎任何商店结账页面和任何在线商店中,以抓取支付卡信息,而无需为每个受感染的网站进行定制。
两天后,即5 月3 日,美国和加拿大数百家PrismWeb 校园商店的结账页面遭到了趋势科技(TrendMicro) 称为Mirrorthief 的Magecart 组织的攻击。
“他们目前专注于支付数据,但我们已经看到了浏览登录凭据和其他敏感信息的举措。这将Magecart 潜在受害者的范围扩大到了电子商务之外。” Klijnsma 还深入分析了针对OpenCart 在线商店的大规模Magecart 运营。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
