网络安全研究人员发现了一个自2022年1月起持续活跃的重大网页侧录活动,其攻击目标包括美国运通、大来卡、发现卡、JCB、万事达卡和银联等多个主要支付网络。

Silent Push在今天发布的报告中指出:"这些支付服务提供商的客户企业最有可能受到影响。"

数字侧录攻击属于一类客户端攻击,攻击者通过入侵合法的电子商务网站和支付门户,注入恶意JavaScript代码。当毫无戒备的用户在结账页面尝试付款时,该代码能悄无声息地窃取信用卡信息及其他个人数据。

这类攻击被统称为Magecart。该术语最初指代针对使用Magento软件的电商网站实施攻击的网络犯罪团伙联盟,后来其攻击范围已扩展至其他产品和平台。

Silent Push表示,在分析一个与现已受制裁的防弹托管服务商Stark Industries(及其母公司PQ.Hosting)相关的可疑域名后发现了此活动。该服务商为规避制裁已更名为THE[.]Hosting,目前由荷兰实体WorkTitans B.V.控制。

经查,涉事域名cdn-cookie[.]com托管着高度混淆的JavaScript有效负载(例如"recorder.js"或"tab-gtm.js"),这些代码被在线商店加载后用于实施信用卡侧录。

该侧录器具备规避网站管理员检测的功能。具体而言,它会检查文档对象模型(DOM)树中是否存在名为"wpadminbar"的元素——该元素是WordPress网站中,当登录的管理员或具有相应权限的用户浏览网站时出现的工具栏。

如果检测到"wpadminbar"元素存在,侧录器将启动自毁程序并从网页中移除自身痕迹。每次网页DOM被修改时(用户与页面交互时的标准行为),侧录器都会尝试重新执行。

不仅如此,侧录器还会检测是否选择了Stripe作为支付选项。若已选择,则检查浏览器的localStorage中是否存在名为"wc_cart_hash"的元素。侧录器会创建该元素并将其设为"true",以标记受害者已被成功侧录。

若未检测到该标记,侧录器会通过用户界面操作渲染一个虚假的Stripe支付表单来替换合法表单,诱骗受害者输入信用卡号、有效期及卡片验证码(CVC)信息。

Silent Push说明:"由于受害者是将信用卡信息输入虚假表单而非真实的Stripe支付表单(侧录器在受害者初次填写时隐藏了真实表单),支付页面将显示错误信息。这使得整个过程看起来像是受害者输错了支付信息。"

侧录器窃取的数据不仅包括支付信息,还涵盖姓名、电话号码、电子邮箱地址和收货地址。这些信息最终通过向服务器"lasorie[.]com"发送HTTP POST请求的方式外泄。

数据传输完成后,侧录器会从结账页面清除自身痕迹:删除创建的虚假支付表单并恢复合法的Stripe输入表单。随后将"wc_cart_hash"设为"true",防止对同一受害者重复运行侧录程序。

Silent Push强调:"攻击者对WordPress内部运作机制有深入理解,甚至能将鲜为人知的功能整合到攻击链中。"

觉得这篇文章有趣吗?请关注我们的Google News、Twitter和LinkedIn账号,阅读我们发布的更多独家内容。

标签: WordPress安全, Magecart, JavaScript侧录, 信用卡窃取, 支付页面攻击

添加新评论