一位荷兰安全研究人员揭开了大规模网站黑客攻击的面纱,该活动已经感染了7,339家Magento商店,其脚本收集了网站上购物者的支付卡数据。
该脚本是行业专家称之为“支付卡刮刀”或“撇渣器”。黑客破坏网站并修改其源代码以加载脚本及其合法文件。
该脚本通常加载在商店结账页面上,并秘密记录在支付表格中输入的支付卡详细信息,这些数据随后会在黑客的控制下发送给服务器。
本周,周一,着名的荷兰安全专家Willem de Groot发现了一个以前没有报道过的卡片报废活动,其中涉及从magentocore.net域加载的撇渣器脚本。
根据de Groot的说法,这是“ 迄今为止最成功的 ”。
研究人员说,在过去的六个月里,他在7,339家Magento商店找到了这个名为MagentoCore的剧本。
“平均恢复时间是几周,但至少有1450家商店在过去6个月内托管了MagentoCore.net寄生虫,”de Groot说。“新品牌每天以50到60家商店的速度被劫持。”
一个快速的PublicWWW搜索显示,在撰写本文时,今天仍然可以在5,172个域上找到MagentoCore脚本。
“受害者名单中包含价值数百万美元的公开交易公司,这表明恶意软件运营商赚取了可观的利润,”德格罗特补充道。“但真正的受害者最终是顾客,他们的卡和身份被盗。”
RiskIQ威胁研究员负责人Yonathan Klijnsma今天告诉Bleeping Computer,本周报道的大规模MagentoCore活动de Groot实际上是一个名为MageCart的大型卡片搜索活动的一部分。
MageCart自2015年底开始一直活跃,MagentoCore恶意软件和相关的magentocore.net域是使用相同策略操作的三个不同组之一的工作,RiskIQ一直在跟踪MageCart。
在MageCart monicker下追踪的其他群组之一是今年早些时候用卡片抓取恶意软件感染了一个流行的聊天小部件的群体。这个聊天小部件是导致 TicketMaster 在6月宣布的数据泄露的原因。
De Groot说,他在扫描互联网寻找Magento商店和恶意软件感染时发现了MagentoCore活动。据de Groot称,目前所有Magento商店中有4.2%的商店感染了一种或多种恶意脚本。
全球所有Magento商店中有4.2%正在泄漏付款和客户数据pic.twitter.com/Utw9W3t3Oa - Willem de Groot(@gwillem),2018年8月27日
去年,de Groot开始要求已经解散或即将死亡的在线商店的所有者捐赠他们的域名,以便他可以设置蜜罐并跟踪信用卡窃取电子商务网站上的恶意软件和其他类型的网络攻击。
领取专属 10元无门槛券
私享最新 技术干货