最近发现大约 500 个电子商务网站遭到黑客入侵,黑客安装了一个信用卡撇取器,当访问者试图购买时,它会偷偷窃取敏感数据。
延伸阅读
电商网站感染的不是一个,而是两个盗卡者 的一份 报告 只是涉及 Magecart 的最新报告,Magecart 是一个总称,指的是用撇油器感染电子商务网站的竞争犯罪集团。 在过去的几年里, 成千上万 的 网站 受到 攻击 ,导致它们运行恶意代码。 当访问者在购买过程中输入支付卡详细信息时,代码会将这些信息发送到攻击者控制的服务器。
欺诈由 Naturalfreshmall[.]com 提供
发现最新一批感染的安全公司 Sansec 表示,受感染的网站都在加载托管在域 naturalfreshmall[.]com 上的恶意脚本。
“Natural Fresh 撇渣器显示了一个虚假的支付弹出窗口,破坏了(符合 PCI 标准的)托管支付表单的安全性 写道: 在 Twitter 上 “付款发送到 https://naturalfreshmall[.]com/payment/Payment.php。”
然后,黑客修改了现有文件或植入了新文件,这些文件提供了不少于 19 个后门,黑客可以使用这些后门来保持对网站的控制,以防检测到并删除恶意脚本并更新易受攻击的软件。 对站点进行全面消毒的**方法是在更新易受攻击的 CMS 之前识别并删除后门,这些 CMS 最初允许站点被黑客入侵。
Sansec 与被黑网站的管理员合作,以确定攻击者使用的通用入口点。 研究人员最终确定,攻击者在名为 Quickview 。 这些漏洞允许攻击者直接在 Web 服务器上执行恶意代码。
他们通过滥用 Quickview 将验证规则添加到 customer_eav_attribute表并注入一个有效载荷,诱使主机应用程序制作恶意对象。 然后,他们在网站上注册为新用户。
“但是,仅将其添加到数据库中不会运行代码,”Sansec 研究人员 解释说 。 “Magento 实际上需要对数据进行反序列化。 这种攻击的巧妙之处在于:通过使用新客户的验证规则,攻击者只需浏览 Magento 注册页面即可触发反序列化。”
在 Sansec 首次在 Twitter 上报告该活动后,不难发现一个多星期后仍被感染的网站。 在这篇文章上线时,Bedexpress[.]com 继续包含这个 HTML 属性,它从流氓 naturalfreshmall[.]com 域中提取 JavaScript。
被黑网站运行的是 Magento 1,该版本的电子商务平台已于 2020 年 6 月停用。对于仍在使用此已弃用软件包的任何网站,更安全的选择是升级到最新版本的 Adobe Commerce。 来安装适用于 Magento 1 的开源补丁 OpenMage 的商业支持 Mage-One 。
人们通常很难在没有经过特殊培训的情况下检测到刷卡机。 一种选择是使用防病毒软件,例如 Malwarebytes,它会实时检查访问网站上提供的 JavaScript。 人们也可能希望避开那些使用过时软件的网站,尽管这并不能保证该网站是安全的。
声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/4852.html
微信扫一扫 
支付宝扫一扫 
