Magecart 黑客將竊取的信用卡數據隱藏到圖像文件中
Magecart黑客設計了一種新技術來混淆評論塊中的惡意軟件,并將竊取的信用卡數據隱藏到逃避檢測的圖像中。
Magecart 旗下的黑客組織 繼續以電子商店為目標,通過軟件竊取器竊取支付卡數據。至少自 2010 年以來,安全公司已經監視了十幾個團體的活動 。
根據 RiskIQ 和 FlashPoint 之前發布的一份報告,一些團體比其他團體更先進,特別是被追蹤為第 4 組的團伙似乎非常復雜。
這些團體的受害者名單很長,包括英國航空公司、 Newegg、 Ticketmaster、 MyPillow 和 Amerisleep以及 Feedify等幾個主要平臺 。
隨著時間的推移,檢測到數百萬個 Magecart 實例,安全專家發現了數十個軟件瀏覽腳本。
安全公司 Sucuri 的研究人員報告說,一些 Magecart 組織在攻擊中使用的一種策略是將竊取的信用卡詳細信息轉儲到服務器上的圖像文件中。
這個技巧避免引起懷疑,在專家監控的攻擊中,攻擊者隨后使用簡單的 GET 請求下載數據。
在 Sucuri 調查的一起事件中,專家們注意到服務器上的幾個圖像文件繼續填充有大量 base64 編碼數據。將數據解碼為純文本后,專家發現它們是信用卡和 CVV 號碼、賬單地址、到期日期等。
盡管很難將攻擊歸因于特定的威脅行為者,但專家推測 Magecart Group 7 的參與是由于與該組相關的 TTP 重疊。
攻擊者還使用了“串聯”技術來混淆數據,下面是研究人員提供的示例:
<?php echo ""."h"."e"."".""."llo"."w"."o"."".""."r"."l"."d" ."";服務器將其解釋為簡單的“helloworld”。
攻擊者還習慣于使用注釋塊隱藏惡意軟件,這些注釋塊在 功能上 沒有任何作用,但添加了一層混淆,使檢測變得更加困難。
Magecart 黑客還被發現在受感染的網站上實時捕獲支付卡詳細信息,然后將數據保存到服務器上的偽造樣式表文件 (.CSS) 中,隨后使用 GET 請求下載。
報告總結道: “MageCart 對電子商務網站構成了日益嚴重的威脅。” “從攻擊者的角度來看:獎勵太大,后果不存在,他們為什么不呢?通過在黑市上偷竊和出售被盜信用卡而發家致富。”
