黑客通过虚假谷歌域名注入多网卡撇取器

 
攻击者使用伪造的Google域名，借助国际化域名(IDN)来托管和加载支持多个支付网关的Magecart信用卡撇取器脚本。
该网站的所有者将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击，Sucuri安全研究在仔细研究后发现该罪魁祸首是基于JavaScript的支付卡撇取器注入该网站。
“我们的调查显示该网站感染了一个信用卡撇取器，从恶意国际化域google-analytîcs[。] com(或ASCII中的xn-google-analytcs-xpb [。] com)加载JavaScript，”Sucuri的研究团队发现。
国际化域名用作C2封面
使用IDN来伪装托管恶意内容的服务器是在网络钓鱼攻击期间采用的已知威胁参与者策略，或者正如此活动所示，试图隐藏来自恶意域的流量作为从合法站点传递的数据包。
因为某些字符可能看起来相同但具有不同的ASCII代码(例如，西里尔语“a”和拉丁语“a”)，攻击者可能能够“欺骗”网页URL。您可能会被引导到恶意网站，而不是访问合法网站，该网站可能看起来与真实网站完全相同。如果您在恶意网站上提交个人或财务信息，攻击者可以收集该信息，然后使用和/或出售。 – CISA安全提示(ST05-016)
攻击者注入的卡片略读脚本“使用加载的JavaScript使用document.getElementsByTagName捕获任何输入数据，并使用输入或存储的元素名称捕获下拉菜单数据。”
这个特色游戏的特殊之处在于，如果它在访问者的Chrome或Firefox网络浏览器中检测到开发者工具面板已打开，它将自动改变其行为。
如果此检查具有肯定结果，则分离器脚本将不会将其捕获的任何数据发送到其命令和控制(C2)服务器以避免检测。
支持数十个支付网关
正如Sucuri的研究人员在他们的分析中发现的那样，这个Magecart撇渣器脚本还支持许多支付网关，这可能会将它连接到Sanguine Security研究员Willem de Groot几个月前发现的另一个类似的恶意工具。
在多线程加载器的帮助下，在被攻陷的在线商店注入之后，发现的卡片浏览脚本de Groot能够从世界各地收集50多个不同的支付网关。
“这个撇油器的复杂性清楚地表明了撇油器的自动化工作流程。它还表明了协作努力：单个人无法如此详细地研究所有这些本地化支付系统，”De Groot当时表示。
撇油器Sucuri发现使用另一个欺骗性的Google域名来提供刮下的付款信息，攻击者使用google [。] ssl [。] lnfo [。] cc IDN作为他们的exfiltration服务器。
此外，Sucuri研究人员在Magento的core_config_data表中发现了恶意代码，该表经常针对恶意攻击，用于存储来自Magento管理界面的配置值的代码。
Magecart黑客组织将留在这里
Magecart团体是至少在2015年以来一直存在的高度动态和有效的网络犯罪团体，他们的活动在四年后一如既往地活跃，很少出现任何萧条。
它们代表了一种不断发展的网络威胁，这种威胁一直是针对像Amerisleep和MyPillow这样的小型零售商以及Ticketmaster，British Airways，OXO和Newegg等知名国际公司的攻击。
7月初，Magento安全研究公司Sanguine Security发现了一项大规模支付卡撇取活动，成功突破了962家电子商务商店。
5月份，Magecart集团成功地在美国和加拿大数百家在线校园商店的PrismWeb支持的结账页面中注入了支付卡略读脚本。
Malwarebytes安全研究员JérômeSegura发现，在同一个月晚些时候，使用升级的信用卡窃取程序脚本设计使用基于iframe的网络钓鱼系统时，也看到了Magecart服装。
作为RiskIQ的威胁研究负责人，Yonathan Klijnsma在一份分析Magecart活动扩展到OSCommerce和OpenCart商店的报告中表示，“对于每一个成为头条新闻的Magecart攻击，我们都会检测到数千个我们没有透露的内容。”