MageCart組織攻擊在網站植入javascript代碼 造成英國航空公司用戶數據泄露
責編:gltian |2018-09-13 10:16:41研究人員進行的調查顯示,英國航空公司數據泄露事件追查到是一個名為MageCart的犯罪團伙。該組織自2015年以來一直活躍,并且許多電子商務網站遭到破壞,以竊取支付卡和其他敏感數據。該小組在目標網站中注入一個skimmer?腳本來虹吸支付卡數據,一旦攻擊者成功破壞了網站,它就會在HTML模板中添加嵌入的Javascript。
下面是一個名為MagentoCore的示例腳本??。
<script type=”text/javascript” src=”hxxps://magentocore.net/mage/mage.js”></script>
此??腳本??記錄客戶的擊鍵并將其發送到受攻擊者控制的服務器。
攻擊者植入javascript代碼竊取數據
根據研究人員的說法,MageCart小組對英國航空公司進行了有針對性的攻擊,并使用該腳本的定制版本來進行持續性攻擊。
黑客使用專用基礎設施來對這家航空公司進行特定攻擊。
“這次襲擊中使用的基礎設施只是考慮到了英國航空公司,故意針對的腳本將與正常的支付處理融為一體,以避免被發現。我們在域名baways.com上看到了這方面的證據???以及丟棄服務器路徑。“
專家分析了網站加載的所有腳本,并搜索了最近的變化證據。
專家注意到Modernizr JavaScript庫中的一些變化,攻擊者在底部添加了一些代碼行,以避免給腳本帶來問題。JavaScript庫于格林威治標準時間8月21日20:49修改。
惡意腳本是從英國航空公司網站上的行李認領信息頁面加載的,攻擊者添加的代碼允許Modernizr將付款信息從客戶發送到攻擊者的服務器。
該腳本允許攻擊者從網站和移動應用程序中竊取用戶的數據。
從英國航空公司竊取的數據以JSON的形式發送到baways.com上托管的服務器,該服務器類似于航空公司使用的合法域。
攻擊者使用SSL防止被發現
攻擊者從Comodo購買了SSL證書,以避免引起懷疑
“該域名???位于89.47.162.248,位于羅馬尼亞,實際上是位于立陶宛的名為Time4VPS的VPS提供商的一部分。演員還為服務器加載了SSL證書。有趣的是,他們決定使用Comodo的付費證書而不是免費的LetsEncrypt證書,這可能使它看起來像一個合法的服務器:“繼續RiskIQ。
目前還不清楚MageCart如何在英國航空公司網站上設法注入惡意代碼。
“正如我們在這次襲擊中看到的那樣,?Magecart?建立了定制的,有針對性的基礎設施,專門與英國航空公司網站融為一體,盡可能避免被發現。雖然我們永遠無法知道攻擊者在英國航空公司服務器上的覆蓋范圍,但他們能夠修改該站點的資源這一事實告訴我們訪問權限很大,并且他們可能在攻擊開始之前就已經訪問了很久關于面向網絡的資產的脆弱性,這是一個明顯的提醒。“RiskIQ總結道。