黑客将Web Skimmer隐藏在网站的收藏图标后面

2020-05-07 02:53:57

在迄今为止检测到的最复杂和最具创新性的黑客活动之一中,一个黑客组织创建了一个虚假的图标托管网站,以掩盖旨在从被黑客攻击的网站窃取支付卡数据的恶意代码。

安全研究人员将这种操作称为网络浏览、电子浏览或Magecart攻击。

黑客入侵网站,然后将恶意代码隐藏在其页面上,这些代码记录并窃取支付卡的详细信息,当它们重新输入结账表格时。

网络浏览攻击已经持续了近四年,随着安全公司越来越善于检测它们,攻击者也变得越来越狡猾。

在今天发布的一份报告中,总部位于美国的网络安全公司Malwarebytes表示,它发现了一个这样的组织,用一种新的伎俩将其运营提升到了一个全新的复杂水平。

这家安全公司表示,他们在调查一系列奇怪的黑客事件时发现了这个组织,在被黑客攻击的网站上,唯一修改的就是浏览器选项卡中显示的图标。

新的收藏夹图标是一个托管在MyIcons.net上的合法图像文件,其中没有隐藏任何恶意代码。然而,虽然这一改变看起来是无辜的,但Malwarebytes表示,黑客网站上仍然加载了网络浏览代码,而且新的Favicon显然有一些奇怪的地方。

根据Malwarebytes的说法,诀窍在于MyIcons.net网站为网站的所有页面提供了一个合法的收藏夹文件,除了包含结账表格的页面。

在这些页面上,MyIcons.net网站会秘密地将收藏图标换成恶意的JavaScript文件,该文件创建了一个假的结账表格,并窃取了用户卡的详细信息。

Malwarebytes表示,调查这起事件并访问MyIcons.net网站的网站所有者会发现一个完全正常工作的图标托管门户网站,并会被误导,认为它是一个合法的网站。

然而,这家安全公司表示,MyIcons.net实际上是合法的IconArchive.com门户网站的克隆,其主要角色是一个诱饵。

此外,正如另一家网络安全公司Sucuri几周前报道的那样,该网站还托管在以前用于其他网络浏览操作的服务器上。

这一行动背后的组织不遗余力地隐藏其恶意代码;然而,侵入性的掠卡黑客很少会不被注意到,而且几乎总是被发现。

尽管如此,尽管其他类型的网络犯罪集团已经做了类似的事情,但建立一个假图标托管门户的努力在其他网络浏览操作中是前所未见的。

例如,锆团伙注册了28家虚假广告代理机构,以便在数千个网站上展示恶意广告;奥库斯远程访问木马的运营商在加拿大注册并运营了一家声称为企业员工提供远程访问软件的公司。