SD-研 系列复杂的 究-Magecart
作者：Source Defense

在网络安全领域，新攻击媒介的出现既是挑战，也是加强防御的机会。Source Defense 研究团队最近发现了一系列针对著名加拿大网站的复杂 Magecart 攻击，突显了这些攻击日益复杂，以及多种攻击媒介之间令人着迷的相互作用。

在本文中，我们将深入探讨这些攻击的技术复杂性，揭示网络犯罪分子用来窃取在线支付数据的策略。

调查

我们的调查始于 1 月 23 日，当时我 whatsapp 号码数据 们在网站上检测到了第一次 Magecart 攻击。攻击源自域名 cdn-jsnode-call[.]com，这是 Magecart 活动的已知中心。一个月后，即 2 月 23 日，我们观察到第二次攻击来自域名 cdn-webjscalls[.]com。攻击仍在继续，被盗数据被秘密发送到域名 wasatchupholsterry[.]com。

这种情况的有趣之处在于这些攻击的并行性。发现一个网站遭受一次攻击已经很糟糕了，但像我们这样发现三次攻击却是闻所未闻的。而这正是这里发生的事情。

第一个是嵌入在结帐页面上的 JavaScript 内联脚本。引人注目的是，它厚颜无耻地收集信用卡详细信息，不加任何混淆，并将这些敏感信息传输到域名 qweasdasdasd[.]com。

第二次攻击源自域名 tretiy[.]store。此 skimmer 采用多层混淆技术。整个脚本代码均采用 base64 编码，解码后会发现另一层混淆。

Magecart 攻击的揭秘

此时，形势突然 的巴塞尔协议 III 框架引入了流动 对黑客不利。托管在 tretiy[.]store 上的 skimmer 触发了第一个 skimmer (cdn-webjscalls) 的功能，将窃取的数据转移到初始 skimmer (wasatchupholsterry[.]com) 指定的域，而不是预期的 perviy[.]store。

我们的研究表明，加载到页面上的第一个 skimmer 实现了对第二个 skimmer 调用的函数的覆盖。这一系列意外事件让我们相信有多个 magecart 组织正在攻击该网站。

该公司网站同时遭受了三起 Magecart 攻击，每起攻击都有其独特的特点。这些攻击的复杂性和相互依赖性凸显了网络犯罪分子在不断追求有价值的在线支付数据时不断演变的策略。作为防御者，我们必须保持警惕并灵活应对，以阻止此类威胁。

阻止 Magecart 攻击

Magecart 攻击严重威 广告库 胁处理信用卡数据等敏感信息的在线业务。组织必须采取必要的预防措施来防止此类攻击。定期网站扫描、安全更新以及教育员工识别和报告可疑活动可以保护组织免受此类威胁。警惕性和适应性对于防御此类攻击至关重要。