什么是魔法师车?这个黑客组织如何窃取支付卡数据?
Magecart定义
Magecart是一个恶意黑客团体的联合体,他们以在线购物车系统(通常是Magento系统)为目标,窃取客户支付卡信息。这就是所谓的供应链攻击。这些攻击背后的想法是从一个VAR或系统集成商那里危害第三方软件,或者在不知情的情况下感染一个工业过程。
购物车之所以成为吸引人的目标,是因为它们可以从客户那里收集支付信息:如果你的恶意软件可以利用这个数据流,那么你就有了现成的卡收集工具。几乎所有使用购物车的电子商务网站都没有对与这些第三方产品一起使用的代码进行适当的审查——这是一种现成的黑客手段。
众所周知,Magecart自2016年以来一直活跃,产量颇丰。RiskIQ在其对2018年Magecart漏洞的分析中表示,该公司发现网站每小时都会收到被其skimmer代码破坏的警报。这让Magecart在《连线》杂志2018年的互联网最危险人物排行榜上占据一席之地。
最近,Magecart被指责在MyPillow.com和AmeriSleep.com上植入了支付卡浏览脚本。其他法师车攻击包括:
Ticketmaster英国业务(2018年1月)
英国航空公司(2018年8月)
新蛋电子零售商(2018年9月)
购物者批准(2018年9月)
顶级体育收藏网站(2018年11月)
亚特兰大鹰队球迷商品在线商店(2019年4月)
数百家大学校园书店(2019年4月)
福布斯杂志订户(2019年5月)
魔法师车的工作原理
通常,Magecart黑客会替换一段Javascript代码,方法是更改Magento源代码,或者使用对托管恶意软件的网站的注入重定向购物车。研究人员发现了近40种不同的代码注入漏洞。检测这一点的唯一方法是逐行比较整个电子商务代码堆栈,看看有什么变化。
对于攻击者来说,一个聪明的方法是将他们的代码上传到一个未使用的GitHub项目中。罪犯试图取得项目的所有权,然后发布包含恶意软件的“新”版本的代码。这有一个直接的好处,快速得到恶意软件的积极使用跨越数千个网站。安全工具可能不会扫描GitHub中的代码,因此犯罪分子可以躲在显眼的地方,躲过这个被破坏的项目。
根据RiskIQ的报告,至少在英国航空公司的黑客攻击中,Magecart针对特定系统定制了攻击。报告作者写道:“这个特别的撇子非常符合英国航空公司支付页面的设置方式,这告诉我们,攻击者仔细考虑了如何瞄准这个网站,而不是盲目地注入常规的Magecart撇子。”。
Magecart表示,它愿意随着mychooll网站的攻击而进一步发展。MyPillow很快发现并删除了他们原来的恶意软件,但根据RiskIQ的另一份报告,Magecart保留了对该网站的访问权。第二次进攻改变了战术。”RiskIQ研究人员说:“攻击者第二次在MyPillow网站上放置了一个skimmer,为LiveChat添加了一个新的脚本标签,与LiveChat脚本通常插入的脚本标签相匹配。”Magecart攻击者更进一步,通过代理从真正的LiveChat服务返回的标准脚本并在其下面附加skimmer代码。”
