Magecart 攻擊者將被盜的信用卡數據保存在.JPG 文件中

來自Sucuri的研究人員在對受感染的Magento 2電子商務網站進行調查期間發現了該策略，該策略可以創造性地隱藏惡意活動，直到可以檢索到信息為止。

Magecart攻擊者找到了一種新的方法來隱藏他們惡意的在線活動，方法是將他們在線瀏覽的信用卡數據保存在他們注入惡意代碼的網站上的.jpg文件中。

Sucuri惡意軟件研究團隊的Luke Leal在上周在線發布的一份報告中，網站安全公司Sucuri的研究人員最近在使用開源電子商務平臺 Magento 2 對受感染網站進行調查期間發現了難以捉摸的策略。

他寫道：“創造性地使用偽造的.JPG，攻擊者可以隱藏并存儲所收集的信用卡詳細信息以備將來使用，而不會引起網站所有者的過多關注。”

Leal解釋說，在受感染網站的內部窺視發現惡意注入正在捕獲來自站點訪問者的POST請求數據。他寫道：“在結賬頁面上，它被發現在將捕獲的數據保存到.jpg文件之前對其進行了編碼。”

POST請求方法通常要求Web服務器接受請求消息正文中包含的數據，以便可以對其進行存儲。當有人將文件上傳到網站或提交完整的Web表單時，通常在Web交易中使用它。

特別是，Sucuri發現攻擊者將PHP代碼注入到名為./vendor/magento/module-customer/Model/Session.php的文件中，然后使用“ getAuthenticates ”功能加載惡意代碼，Leal說。他說，代碼還創建了一個.JPG文件，攻擊者用來存儲他們從受感染站點捕獲的任何數據。

Leal寫道：“此功能使攻擊者可以在方便時輕松訪問和下載被盜信息，同時將其隱藏在看似無害的JPG中。”

確實，旨在從在線交易中竊取數據的威脅行為者一直在努力尋找新的方法，以創造性的方式隱藏其活動，從而逃避檢測。

Magecart攻擊者是不同的威脅團體，他們都通過在付款頁面上的刷卡腳本入侵電子商務網站，竊取客戶付款和個人數據，他們對這一活動尤為熟練。他們經常將自己的略讀技術隱藏在看起來可信的功能中，并利用他們攻擊的平臺來蠶食自己，以達到他們的結果。

例如，在圣誕節前后發現的Magecart廣告系列隱藏在令人信服的PayPal iframe中，從而使電子商務網站的PayPal結帳過程能夠竊取用戶憑據和信用卡信息。

Leal解釋說，最新的活動還利用了Magento代碼框架來完成其卑鄙的工作，即收集捕獲并隱藏在.JPG文件中的數據。他說，惡意PHP代碼依靠Magento函數“getPostValue”捕獲“CUSTOMER_POST參數”內的結賬頁面數據。

他還說，它還使用了Magento函數“ isLoggedIn ”來檢查受害者是否以用戶身份登錄到網站，如果是這種情況，攻擊者還會從交易中提取用戶的電子郵件地址。

他寫道：“受害者在結帳頁面上提交的幾乎所有信息都存儲在’Customer_Parameters’中，包括全名和地址，支付卡詳細信息，電話號碼和用戶代理詳細信息，”他寫道。

Leal補充說，一旦攻擊者獲得了客戶付款數據，他們便可以繼續將其用于各種犯罪活動，例如信用卡欺詐或針對性的基于電子郵件的垃圾郵件或網絡釣魚活動。

Sucuri建議，雖然這種最新的Magecart反檢測方法可能會使感染最初難以發現，但如果網站所有者實施網站監控服務或完整性控制檢查，它將幫助網站所有者識別環境中的新文件或在造成損害之前檢測到潛在的惡意更改。