摄影和影像零售商Focus相机网站去年底被MageCart攻击者黑进恶意代码,窃取客户支付卡的详细信息。
以True MageCart的方式,在结帐时加载脚本以捕获计费信息并将其发送到攻击者的服务器。
为了隐藏恶意流量,攻击者注册了“zdsassets.com”,这是一个类似Zendesk合法的“zdassets.com”的域名。
MageCart域名于2019年11月11日与荷兰的一家托管提供商注册,12月底,Juniper网络公司Juniper威胁实验室的负责人Mounir Hahad发现了盗窃脚本。
在分析漏洞时,Hahad发现攻击者修改了一个JavaScript文件以注入模糊的有效负载。该例程使用base 64进行编码。
一旦解码,研究人员就能看到由脱节脚本执行的例程。窃取的详细信息包括电子邮件、客户姓名、地址(计费和发货)、电话号码和卡片详细信息(号码、到期日期、CVV代码)。
根据所看到的DNS遥测数据,自其创建以来,接收对焦相机客户的信息的指挥和控制域被解析了905次。这可能表明受害者人数。
“可能同一个C&C域正被用于多个妥协的购物网站和活动--此时,我们没有任何遥测技术来证明这一点或另一种方式”--Mounir Hahad
在博客帖子中Hahad说,MageCart脚本是在客户以客人身份购买时,没有注册的情况下采取行动的。
在确定焦点摄像头网站被破坏后,Juniper威胁实验室试图与网站所有者联系。不同的时区和周末延迟了零售商的响应。
几天后,研究人员能够与域名管理员交谈,并与他们分享研究结果。当天结束时,恶意代码已从网站中删除。
还没有评论,来说两句吧...