黑客使用Comodo的SSL证书以英国航空公司为目标窃取数据

最近英国航空公司的数据泄露事件 影响了380,000人，这似乎是一个已知对手的工作，它使用旨在收集支付卡数据的脚本感染网站。

该组的名称是MageCart，它使用的脚本与ATM上的网络犯罪分子使用的物理卡片浏览设备具有相同的效果。在典型的攻击中，该组织通过破坏常用的第三方功能来扩大网络，允许访问数百个网站。

英国航空公司成为目标

数字威胁管理公司RiskIQ跟踪MageCart集团的活动，并报告了自2016年以来他们对基于网络的卡片撇取器的使用情况。他们熟悉威胁行为者及其撇浮码并几乎每小时检测一次。

不过，对于英国航空公司来说，MageCart采取了有针对性的方法并对脚本进行了定制，因此没有敲响任何警钟。

“这个特殊的撇取器非常适合英国航空公司的支付页面设置，它告诉我们攻击者仔细考虑如何瞄准这个网站，而不是盲目地注入常规的 Magecart 撇取器，”RiskIQ在 与BleepingComputer分享的一份报告中说道。提前。

在这次调查中，研究人员确定了航空承运人网站上载的所有脚本，并搜索了最近的变化。

研究人员注意到，Modernizr JavaScript库已在底部修改了22行新代码，这是黑客经常使用的一种策略，以确保它们不会破坏脚本的功能。

英国航空公司网站从行李认领信息页面加载了lib，MageCart所做的更改允许Modernizr将付款信息从客户发送到黑客的服务器。

无论网站是在计算机屏幕上还是从移动应用程序启动，受损代码的反应都是相同的，因为在这两种情况下，用于搜索，预订或管理航班的资源都是相同的。

英国航空公司服务器发送的标题证实了JavaScript库的变化，该标题表示格林威治标准时间8月21日20:49作为Modernizr最后一次修改的时间和日期。

在关于数据泄露的声明中，该航空公司表示，盗窃事件发生在8月21日22:58 BST之间，MageCart在Modernizr改变后一小时。

黑客使用Comodo的SSL证书

更多证据表明，MageCart为这次攻击做好了准备并且旨在尽可能长时间保持活动，这一点可以在用于公开支付卡详细信息的基础设施中找到。

受到妥协的Modernizr脚本将所有数据传递到baways.com，类似于英国航空公司使用的合法域名，并且在粗略查看修改后的库时可能不会引起怀疑。

RiskIQ还发现MageCart从Comodo购买了SSL证书，而不是从Let's Encrypt中自由选择。这样做的原因是付费证书不太可能引起注意。

通过这次攻击，MageCart已经走上阶梯，并表明他们有能力改进其运营，融入目标网站以维持他们的存在。目前还不清楚MageCart如何设法破坏英国航空公司的网站，但RiskIQ表示能够“修改网站的资源告诉我们访问权限很大。”