黑客篡改網店404頁面竊取信用卡

近日，Akamai安全情報小組的研究人員發現黑客“創造性“地篡改電商網站的404頁面來竊取用戶的信用卡信息。（研究人員還發現另外一種攻擊手法：將代碼隱藏在HTML圖像標簽的“onerror”屬性和圖像二進制文件中，使其顯示為Meta Pixel代碼片段。）

Akamai表示，此類Magecart盜卡活動主要針對使用Magento和WooCommerce的電商網站，一些食品和零售行業的知名品牌受到影響。

Akamai在報告中指出：“Magecart攻擊者利用默認的404錯誤頁面來隱藏和加載惡意卡竊取代碼，這在之前的活動中從未見過。這種隱藏技術具有高度創新性，我們在之前的Magecart活動中從未見過。“

研究者發現，偽裝成元像素代碼片段或者隱藏在受感染結賬頁面上的瀏覽器加載程序會向名為“icons”的相對路徑發起獲取請求，但由于網站上不存在該路徑，因此該請求會導致“404NotFound”錯誤頁面。

該加載程序包含一個正則表達式匹配，用于在404頁面返回的HTML中搜索特定字符串，研究人員對該字符串解碼發現了一個隱藏在所有404頁面中的JavaScript瀏覽器（下圖）：

研究者指出，篡改404頁面的方法有助于逃避網絡流量監控工具的檢測，因為該請求看起來像是良性的圖像獲取事件。然而，解碼Base64字符串會泄露個人和信用卡信息。

篡改404頁面的案例也凸顯了信用卡盜竊攻擊不斷變化的策略和攻擊手段，網站管理員越來越難以在受感染的網站上找到惡意代碼并對其進行清理。