最近发现大约500个电子商务网站被黑客入侵,他们安装了一个信用卡浏览器,当访问者试图购买时,它会偷偷窃取敏感数据。
周二发布的一份报告只是涉及Magecart的最新一份报告。Magecart是一个总括术语,用来指那些用撇取器感染电子商务网站的相互竞争的犯罪集团。在过去几年中,成千上万的网站受到攻击,导致它们运行恶意代码。当访问者在购买过程中输入支付卡详细信息时,该代码会将该信息发送到攻击者控制的服务器。发现最新一批感染的安全公司Sansec表示,受损网站都在加载托管在naturalfreshmall[.]域的恶意脚本通用域名格式。
公司研究人员在Twitter上写道:“Natural Fresh skimmer显示了一个虚假的支付弹出窗口,破坏了(符合PCI的)托管支付表单的安全性。”。“付款被发送到https://naturalfreshmallcom/payment/payment。php。"
然后,黑客修改了现有文件或植入了新文件,这些文件提供了不少于19个后门,黑客可以利用这些后门在检测到并删除恶意脚本以及更新易受攻击的软件时保留对网站的控制。对网站进行彻底消毒的唯一方法是在更新易受攻击的CMS之前识别并移除后门,该CMS首先允许网站被黑客攻击。
Sansec与黑客网站的管理员合作,确定攻击者使用的公共入口点。研究人员最终确定,攻击者在名为Quickview的Magento插件中结合了SQL注入攻击和PHP对象注入攻击。利用这些漏洞,攻击者可以直接在web服务器上执行恶意代码。
他们通过滥用Quickview向customer_eav_属性表添加验证规则,并注入一个有效负载,诱使宿主应用程序创建恶意对象,从而完成了代码执行。然后,他们注册成为该网站的新用户。
“然而,仅仅将其添加到数据库不会运行代码,”Sansec研究人员解释道。“Magento实际上需要取消序列化数据。这种攻击的聪明之处在于:通过使用新客户的验证规则,攻击者只需浏览Magento注册页面即可触发取消序列化。”
在Sansec首次在Twitter上报道这一活动一周多后,不难发现仍受感染的网站。当这篇文章上线时,Bedexpress[.]com继续包含这个HTML属性,它从rogue naturalfreshmall[.]com域。
被黑客攻击的网站运行的是Magento 1,这是一个电子商务平台的版本,于2020年6月退役。对于仍然使用这个不推荐的软件包的任何网站来说,更安全的选择是升级到最新版本的Adobe Commerce。另一种选择是使用OpenMage项目的DIY软件或Mage One的商业支持安装Magento 1可用的开源补丁。
人们通常很难在没有特殊培训的情况下发现支付卡撇取器。一种选择是使用Malwarebytes等防病毒软件,该软件实时检查访问过的网站上提供的JavaScript。人们也可能希望避开那些似乎正在使用过时软件的网站,尽管这很难保证网站的安全。