本以為找到全網最低價Adidas,誰知付款後信用卡被清空了...

前不久有人發我一個帖子，上面是 Adidas 運動鞋的特價消息和一個網站跳轉連結。

點擊連結，便進入了 Adidas 運動鞋「官方」網站，再一看價格，原價 2000 美元的鞋子竟然只要 134美元。

我毫不猶豫地拍下了這雙特價名牌鞋，並暗喜撿了個大便宜......就在這時，手機一震一條簡訊躍然屏上：你的信用卡已透支，透支金額為 100 萬元。

WTF ！買降價鞋會讓信用卡透支？所以~節操無價的說法是真的嘍？

不，真相只有一個。

假冒偽劣秒變騙錢工具

隨著最新一波品牌熱潮的升溫，宅宅還找到了類似  Off-White  、  Nike  等多家品牌的帖子。

這些帖子無一例外，都是用降價銷售作為亮點，試圖將買家帶進跳轉連結。乍看之下，這些網站似乎並無異常，但操作時就會發現有的地方與真實的品牌官網並非一致。

假冒運動鞋專賣店

隨著假冒球鞋網站如雨後春筍般湧現，像這樣的「二手」網站並不少見，其在混淆視聽的情況下，也為希望低價滿足「穿名牌」的人們提供了 B 方案。

只是，相比正規官網這類網站不會建立完善的安全機制，以至於現在它們成為了黑客眼中的謀利神器。

研究人員稱，在最新發現的安全問題中，一些全球著名品牌的復刻版被黑客嘗試安裝了惡意的 Magecart 腳本，當購物者從假冒網站購買運動鞋時，他們在付款後不光不會得到運動鞋，反而會在付款的時候竊取信用卡信息。

吸引買家進假冒網站的論壇帖子

在黑客有意識的攻擊行為中，這一腳本至少被植入了上百個冒充名牌的欺詐網站。它可以竊取購買者提交的信用卡信息並將其發送到遠程伺服器。

這些假冒網站通過各大名牌產品的交流社區、貼吧以及搜尋引擎進行傳播，其中的降價消息、新品圖片都會根據不同平臺的特性和優勢進行優化，這為黑客提升了攻擊的成功率。

攻擊分析

根據 Malwarebytes 的說法，黑客正在將一個名為 translate.js 的惡意腳本注入這些運動鞋網站。在檢查了站點結帳頁面的原始碼之後，可以看到一個名為 /js/mage/translate.js 的 JavaScript 文件，如下所示。

注入了 translate.js 腳本

乍一看，此腳本似乎屬於 Magento 電子商務平臺，該平臺用於創建假冒運動鞋網站。但是，如果仔細觀察，可以發現混淆的 JavaScript 已添加到 Magento 腳本的底部。

植入的Magento腳本

通過 JS 美化器運行 JavaScript 後，我們可以看到該腳本正在收集購物者提交的信用卡信息，然後將其發送到位於 http://103.139.11.34 的站點。然後，攻擊者即可收集這些被盜的信用卡信息。

在分析了所有被破壞的站點之後， Malwarebytes 威脅情報研究人員 JérômeSegura 發現了所有站點具有的共同點：

它們都使用過時的 PHP 程式語言版本和 Magento 運行類似的模板，並且位於少數 IP 地址子網中。

受感染網站的部分列表

因此， Malwarebytes 認為攻擊者進行了大規模掃描，尋找容易受到攻擊的網站（可能是運行 Magento 或過時的 PHP 版本的網站），並利用這些偽造的運動鞋網站謀利。

JérômeSegura稱，我認為這是一臺自動掃描儀，它恰好能抓取這些 IP 範圍，而且因為所有站點之間幾乎都是彼此的副本（而且都已過時），所以工作量並不大。

如果你最近在一個陌生的網站（或者其他途徑的「官網」）上購買了運動鞋，則可能需要查看 Malwarebytes 的博客以確認受感染店鋪的完整列表。

編譯來源：bleepingcomputer

雷鋒網(公眾號：雷鋒網)雷鋒網雷鋒網

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。