黑客组织用假谷歌域名注入多网卡侧取器窃取数据
7月27日消息,安全人员发现,攻击者使用伪造的Google域名,借助国际化域名(IDN)来托管和加载支持多个支付网关的Magecart信用卡侧录器脚本。
该网站的所有者将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击,Sucuri安全人员在仔细研究后发现该罪魁祸首是基于JavaScript的支付卡侧录器注入该网站。
使用IDN来伪装托管恶意内容的服务器是在网络钓鱼攻击期间采用的一种障眼法,这种方式可以隐藏来自恶意域的流量作为从合法站点传递的数据包。
“我们的调查显示该网站感染了一个信用卡侧录器,从恶意国际化域google-analytîcs[。] com(或ASCII中的xn-google-analytcs-xpb [。] com)加载JavaScript,”Sucuri的研究团队发现。
据悉,攻击者注入的卡片略读脚本使用加载的JavaScript,使用document.getElementsByTagName捕获任何输入数据,并使用输入或存储的元素名称捕获下拉菜单数据。
其特殊之处在于,如果它在访问者的Chrome或Firefox网络浏览器中检测到开发者工具面板已打开,它将自动改变其行为。如果此检查具有肯定结果,则分离器脚本将不会将其捕获的任何数据发送到其命令和控制(C2)服务器以避免检测。
以上行为,被一个名为Magecart的黑客组织使用。
正如安全人员分析中发现的那样,这个Magecart侧录器脚本可能会将它连接到Sanguine Security研究员Willem de Groot几个月前发现的另一个类似的恶意工具。
在多线程加载器的帮助下,在被攻陷的在线商店注入之后,发现的卡片浏览脚本de Groot能够从世界各地收集50多个不同的支付网关。显然,仅凭个人无法如此详细地研究所有这些本地化支付系统,”De Groot当时表示。
侧录器Sucuri使用另一个欺骗性的Google域名来提供截取的付款信息,攻击者使用google [。] ssl [。] lnfo [。] cc IDN作为他们的exfiltration服务器。
Magecart黑客组织是一支自2015年以来一直存在高度动态和有效的网络犯罪团体,他们的活动在四年后一如既往地活跃。
它们代表了一种不断发展的网络威胁,这种威胁一直是针对像Amerisleep和MyPillow这样的小型零售商以及Ticketmaster,British Airways,OXO和Newegg等知名国际公司的攻击。
7月初,Magento安全研究公司Sanguine Security发现了一项大规模支付卡侧取活动,成功突破了962家电子商务商店。
5月份,Magecart集团成功地在美国和加拿大数百家在线校园商店的PrismWeb支持的结账页面中注入了支付卡侧读脚本。
Malwarebytes安全研究员JérômeSegura发现,在同一个月晚些时候,使用升级的信用卡窃取程序脚本设计使用基于iframe的网络钓鱼系统时,也与Magecart有关。
参考来源:
bleepingcomputer
https://www.bleepingcomputer.com/news/security/hackers-inject-multi-gateway-card-skimmer-via-fake-google-domains/
-----招聘好基友的分割线-----
招聘岗位:
网络安全编辑(采编岗)
工作内容:
主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;
采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;
针对不同发布渠道,策划不同类型选题;
参与打理宅客频道微信公众号等。
岗位要求:
对网络安全有兴趣,有相关知识储备或从业经历更佳;
科技媒体1-2年从业经验;
有独立采编和撰写原创报道的能力;
加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……
你将获得的是:
与国内外网络安全领域顶尖安全大牛聊人生的机会;
国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;
老司机编辑手把手带;
以及与你的能力相匹配的薪水。
坐标北京,简历投递至:liqin@leiphone.com
戳蓝字查看更多精彩内容 探索篇 ▼ 真相篇 ▼ 人物篇 ▼ 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注
相关内容
微信扫码咨询专知VIP会员