Magecart 攻擊使用 postMessage 劫持 PayPal 交易

新的信用卡分離器使用postmessage使惡意程序看起來對受害者來說是真實的，以竊取付款數據。

恰逢忙碌的在線假期購物旺季，Magecart幫派想出了一種新的信用卡掠奪技術，用于在結帳時劫持PayPal交易。

Affable Kraut的安全研究人員發現了該技術，該技術使用postMessage將令人信服的PayPal iframe注入到在線購買的結帳流程中，“這是第一個部署這種方法的分離器，”他在Twitter上說。

Magecart是一個籠統的術語，涵蓋了幾個都使用相同攻擊方法的不同威脅組：他們破壞電子商務網站，在結帳頁面上注入竊取卡腳本，竊取毫無疑問的客戶的支付卡詳細信息以及在字段中輸入的其他信息頁。然后將信息發送回攻擊者控制下的服務器。

Affable Kraut使用了來自Sansec（一家旨在打擊數字盜版的安全公司）的數據，以窺視新的卡片盜版技術的作用。盡管大多數試圖模仿PayPal頁面以誘騙用戶輸入詳細信息的方法即使在被劫持的過程中看起來也不是很真實，但他觀察到的方法“經過大量工作來嘗試并盡可能令人信服，” Kraut發了推文。

導致這種外觀的關鍵因素之一是它使用了名為window.postMessage的腳本，該腳本使Web頁面與它所產生的彈出窗口之間或頁面與嵌入其中的iframe之間能夠進行跨域通信。

通常，不同頁面上的腳本僅當且僅當它們原始的頁面共享相同的協議，端口號和主機時，才能相互訪問。研究人員說，PostMessage可以繞開此限制，攻擊者可以利用它來以對用戶看起來真實的方式傳輸被盜的付款信息。

這次攻擊使用一種隱寫方法將惡意代碼隱藏在受感染的在線商店服務器上托管的映像中，Affable Kraut說，該方法是他的同事去年首次發現的。

他說，雖然一開始這個代碼看起來和其他很多抓取器類似，它抓取用戶輸入表單的數據，然后將其提取出來，但它的功能與其他抓取器非常不同。該研究人員表示，該公司利用這些被竊取的數據來改進其偽造的支付形式。

攻擊是通過預先填充要在受害者的結帳過程中顯示的假PayPal表單（而不是合法的表單）來完成的，這增加了購物者成為惡意行為的受害者的可能性。

“當受害者看到此頁面時，現在頁面已部分填寫，這肯定會增加捕獲其全部付款數據的幾率，” Affable Kraut發推文說。

抓取器甚至在填寫PayPal表格之前分析信息，如果數據不好，它實際上發送一個消息回受害者的網站頁面，從結帳頁面刪除惡意iframes。

但是，如果數據通過了解析過程，則攻擊將使用 _ _ activatePg 調用來將表單預填充到惡意交易中。Affable Kraut說，它甚至可以傳遞購物車中的物品以及準確的交易總額，稅金和運輸成本，從而使攻擊更加合理。

受害者輸入并提交付款信息后，抓取器會將數據滲漏到apptegmaker[.]com，該域名于2020年10月注冊并連接到tawktalk[.]com。后者曾在以前的Magecart團體攻擊中使用過。然后，分離器單擊惡意iframe后面的訂購按鈕，然后將受害者發送回合法的結帳頁面以完成交易。

這個月的圣誕節假期購物季節在上個周末開始，很可能是網上事件，這將使像Magecart和相關團體這樣的攻擊者集中精力竊取付款憑證。在過去的幾個月中，已經看到攻擊者改變了策略和受害者，并加大了對電子商務的攻擊。

9月，Magecart開展了迄今為止最大的活動之一，將近2,000個電子商務站點黑客入侵了一個自動活動中，該活動可能與零時差攻擊相關。攻擊影響了成千上萬的信用卡和其他信息被盜的客戶。那個月該小組還被視為使用加密消息服務Telegram作為將竊取的信用卡信息發送回其命令和控制（C2）服務器的渠道。

然后在10月，一個名為Fullz House小組的Magecart衍生組織針對了Boom中一個不太可能的受害者！移動平臺，以電子商務攻擊為目標，瞄準無線服務經銷商的網站。