Magecart攻擊手段再升級,能從網站管理員處竊取資料
近日據悉,臭名昭著的網路犯罪團伙——Magecart,其組織中一支日益壯大的黑客小組已經發展到不僅從訪問者處竊取資料,也能從網站管理員處竊取資料了。研究人員表示,這種新能力可能會讓Magecart的攻擊能力再度升級,更加輕而易舉的滲透到企業內部。
這個名為“十一組”(group 11)的組織正是上個月隱形眼鏡商家VisionDirect資料洩露事件的幕後黑手。在那次攻擊中,Magecart利用數字卡片撇取器竊取了訪問商家網站的客戶的資料。但在本週二公佈的一份針對group 11和此次攻擊的最新分析報告中,RiskIQ的研究人員表示,Magecart在他們的武器庫裡增加了一種新的關鍵詞過濾技巧。
新功能使group 11能夠執行Magecart之前從未達成過的攻擊手段,例如從站點管理員竊取憑證或基本資料。
RiskIQ的研究人員Yonathan Klijnsma和Jordan Herman表示:
這種關鍵詞過濾技術的變化是一個新的突破,但我們並不對此感到驚訝。網路撇取對於威脅行為者來說有很多好處,可以用於很多事情。竊取憑證是我們期待更早看到的事情,但它似乎只是剛剛觸及到該組織的運營方面。
VisionDirect的資訊洩露事件比想象中更嚴重
VisionDirect商家在關於此次資料洩露事件的通報中表示,此次事件發生在11月3日至8日之間,並且客戶的“個人和財務細節”受到了損害。
洩露資料包括VisionDirect.co.uk訪問者的全名、地址、電話號碼、電子郵件地址、密碼和支付卡資料(卡號、有效期和CVV號)。
然而事情並沒有止步於此,RiskIQ研究人員於週二表示,他們發現了這一漏洞的兩個特徵,背後所透露的影響範圍遠比之前設想的要大。
首先,漏洞的影響範圍不僅僅是該公司的英國網站,還包括其他六個國家:義大利,西班牙,愛爾蘭,法國,比利時和荷蘭。
這些站點使用的都是相同的設計模板,並且都託管在同一個IP上,這意味著Group 11能夠通過點選主伺服器同時對所有站點造成威脅。
更重要的是,Group 11的數字卡片撇取器中增加了一些功能,這些功能還可以竊取管理員的憑據或基本資訊。雖然Group 11此次使用撇取器與其他Magecart小組的撇取器沒有什麼區別,但是是用關鍵詞相關的方式使用它。
Magecart以使用基於網路的數字卡片撇取器而聞名。這些撇取器使用注入網站的指令碼來直接或通過這些網站使用的受感染的第三方供應商竊取在電子商務網站上的資料,並使用關鍵詞來過濾頁面,以確保支付表單被撇取。
研究人員表示:
URL路徑過濾通常用於確保撇取器只在支付頁面上操作,它包含一些關鍵字,這些關鍵字指明瞭其他頁面的目標,包括登入和管理頁面。然而,通過新增一些額外的關鍵詞(如:管理,帳戶,登入,和密碼)到JavaScript的撇取器程式碼,Group 11也能夠撇取包含這些關鍵詞資訊的頁面,這意味著被撇取的資料將包括使用者憑證,以及管理員在網站的受限管理部分執行的操作。
Magecart:持續的威脅
Klijnsma表示,Magecart組織自2015年以來,因一系列的洩露行為而被公眾指責,其中就包括迄今為止最猖獗的盜卡行為,以及今年早些時候對Ticketmaster的大規模資料洩露事件。
Magecart由各種不同的團體組成(RiskIQ確定了七個) – 每個團體都有自己的工具和特徵。例如,Group 5製造了Ticketmaster的洩露事件,而Group 5則是英國航空公司和Newegg洩露事件的幕後元凶。Group 11在2017年初首次被觀察到,儘管與其他組相比基礎設施相對較小,但他們已經能夠對大多數網站產生威脅。