前言

 

之前就曾報導過關於Magecart數字信用卡撇取活動的報告-主要針對Ticketmaster，British Airways和Newegg等重大漏洞。在每一份出版物中，都可以注意到Magecart下的六個小組已經加強了他們的行動，在每次攻擊中變得更加聰明，並且在許多情況下變得更加複雜。

 

然而，Magecart活動的一個特別成問題的方面是，由於對大多數電子商務網站上執行的程式碼的普遍缺乏可見性，網站所有者和消費者通常不知道第三方在該結帳頁面上的程式碼，因為輸入付款資訊時已被Magecart的略讀程式碼所破壞。

 

區塊鏈安全諮詢公司 曲速未來

表示：下面披露了可能是針對Shopper Approved的另一個大規模Magecart攻擊，這是一個與數千個電子商務網站整合的客戶評級外掛，並且它不是針對最近的一些行業趨勢以及快速檢測和通知通過RiskIQ。對此新攻擊分析了並提供Magecart攻擊者何時新增撇渣器，新增撇渣器以及受影響網站範圍的詳細資訊。

 

調查

 

與針對Ticketmaster的攻擊類似，此攻擊不會直接影響單個商店。相反，它試圖通過破壞廣泛使用的第三方來同時從多個線上商店中略過付款資訊。在這種情況下，演員妥協了Shopper Approved，這是一個為線上商店提供評級印章的組織。

​

9月15日清晨，RiskIQ收到關於Magecart的事件通知。是它的域名（以及受影響的網址）引發了注意。這是事件詳細說明：

​

 

 

開啟爬網資料中的關聯頁面，就立即在程式碼中看到Magecart收油機。以下是Shopper Approved的正常certificate.js檔案的樣子：

​

 

 

這是相同的指令碼，但安全研究人員的事件中添加了Magecart撇渣器：

 

 

 

這次攻擊的一個有趣的方面是上面的截圖不是當演員第一次插入時撇渣器的樣子-他們犯了一個錯誤！在格林尼治標準時間9月15日04:35:07，演員修改了certificate.js指令碼以包含後面看起來像這樣的撇渣器：

​

 

 

差不多15分鐘後，演員們在格林威治標準時間04:49:59回來並再次修改劇本，使其看起來像之前截圖中顯示的那樣。他們第一次忘記了對他們的分離器進行了混淆，這是一個小小的錯誤，但是卻允許檢視乾淨的分離器程式碼。

​

還有一點需要注意的是，最近Feedify也受到了損害，並且還在他們的指令碼中放置了一個撇渣器，它使用了與購物者批准的攻擊中使用的相同的丟棄伺服器（卡被髮送到的地方）：info-stat .ws。

​

購物者批准的外展和清理

 

一旦在Shopper Approved上檢測到Magecart收油機，就會通過電子郵件，電話甚至LinkedIn與他們聯絡，看看這樣是否可以幫助他們提供補救資訊。

​

9月17日星期一格林尼治標準時間15:03:01，撇渣器程式碼從網站密封指令碼中刪除。

​

需要注意的一點是受影響的網站數量。雖然Shopper Approved在數千個網站上處於活躍狀態，但只有一小部分客戶受到影響。所以認為有三個關鍵因素導致了這種有限的影響：

​

1. 越來越多的著名購物車，如Shopify和BigCommerce，正在積極阻止第三方指令碼被允許在結帳頁面上顯示。
2. 大多數購物者批准的客戶在其實際結帳頁面上沒有受影響的指令碼，並且
3. 撇渣器程式碼僅查詢URL中具有特定關鍵字的結帳頁面，並且不會影響不包含這些關鍵字的頁面。

 

曲速未來 指出，其中的意識可以幫助限制未來Magecart攻擊的範圍。許多網站使用CDN服務進行快取，還注意到，通常將撇渣器程式碼快取在CDN中，並在從受影響的站點清除撇渣器後很長時間內保持活動狀態。

​

結論

 

Magecart集團正在對電子商務進行全面攻擊，並且沒有停止的零跡象。隨著小組學習如何提高效率，這些攻擊只會越來越多。雖然最初的攻擊涉及低階Magento商店，但後來的攻擊針對的是CDN，以增加其覆蓋範圍。現在，Magecart的工作人員已經學會調整他們妥協的CDN，以確保他們所擊中的唯一網站是線上商店。為了實現他們的目標，他們將追蹤任何分析公司，CDN或任何為電子商務網站提供功能的服務。

 

區塊鏈安全諮詢公司 曲速未來 提醒：如果您擁有一家電子商務公司，最好儘可能從結帳頁面中刪除第三方程式碼。許多支付服務提供商已採用這種方法，禁止第三方程式碼在客戶輸入其支付資訊的頁面上執行。