在頂級電商平臺和服務提供商Volusion遭黑客攻擊後,Magecart黑客在數千家網上商店收集敏感信息。過去的一個月中,黑客的在線信用卡竊取程序活躍在Volusion上的3126家在線商店,而受此次事件影響的其中一個網站就是「芝麻街」(Sesame Street Live)在線商店。
黑客是如何攻擊這些網站的呢?小板凳搬好~ 小E開課啦!
黑客將惡意代碼注入到Volusion提供給客戶的JavaScript庫中,該代碼是為了加載存儲在Google Cloud Storage服務上的JavaScript,JavaScript代表合法庫的幾乎相同的副本,但是信用卡分離器已集成到JavaScript中。
從Google Cloud Storage加載的腳本主要包含庫「 js-cookie」 2.2.1版中的代碼,但其中集成了信用卡分離器,受害者在單擊或者觸摸時就會執行惡意程序。專家對受感染庫分析後,發現黑客將代碼集成到原始腳本中,這樣就確保了它是程序執行流的一部分,代碼十分簡單,以保證它不會被識別,且該exfilter伺服器(「Volusion -cdn[.]com」)類似於Volusion域。
那麼這個惡意代碼的最終目的是什麼呢?專家表示,該惡意代碼會複製用戶提交的個人信息(姓名,地址,電話號碼,電子郵件地址)和信用卡詳細信息(號碼,持卡人姓名,有效期限),並將所有數據發送到黑客的exfilter伺服器。
針對黑客的作案手法,研究人員認為,這次攻擊是由Magecart group 6 精心策劃的,該集團之前被認定為FIN6,此外,本次所使用的代碼與FIN6之前攻擊英國航空公司(British Airways)和Newegg時使用的代碼相似。
小E獲悉,在安全研究人員發現Magecart分離器並與Volusion聯繫後,Volusion公司表示惡意代碼已經被刪除,該問題得到有效解決。