行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
黑客创建iframe来窃取支付卡数据
2020-04-07 12:06:50 【

RiskIQ透露,被追踪为“第7组” 的Magecart威胁一直在使用分离器创建iframe来窃取支付卡数据。

自一月以来,观察到了各种形式的分离器,具有不同程度的混淆,迄今已确定了19个不同的受害者站点。在某些情况下,受感染的网站被滥用来托管撇取代码,将代码加载到受感染的网站上,并窃取被盗数据。

RiskIQ将其称为MakeFrame的分离器具有十六进制编码的字符串和多层混淆功能,以及采用了对美化工具进行检查的反分析技术(可使威胁分析人员更容易阅读代码)。如果代码已被美化,则无法正确执行。

“这项检查意味着研究人员如果想对代码进行模糊处理,就必须处理它们。” 对于经历过混淆处理的分析师而言,这只会花费更多时间。对于那些不熟悉的人,这可能会阻止他们弄清楚代码在做什么。” RiskIQ解释说。

对恶意代码的分析揭示了直接引用创建iframe来浏览支付数据的对象。创建iframe,以便受害者将付款数据输入其中。调用一个特定的功能来格式化伪造的付款表格,而另一个则创建“提交”按钮。

因此,如果受害者填写了表格,然后按下“提交”按钮,则卡片数据将被略读。

RiskIQ的安全研究人员发现了三种截取器的不同版本,包括运行调试过程的开发中版本,甚至包括版本号。

观察到该撇渣器托管在迄今为止确定的所有19个受感染域中,并且被盗数据已发送到同一服务器或另一个受感染的域。

“这种渗透方法与Magecart Group 7使用的方法相同,将窃取的数据作为.php文件发送到其他受感染的站点进行渗透。研究人员解释说,每个用于数据泄露的受损站点也被注入了撇渣器,并且还用于托管加载到其他受害站点上的掠夺代码。

在技术和代码构造上的相似之处使RiskIQ得出结论,认为Magecart Group 7在新分离器的背后。

研究人员还能够将分离器链接到运行Debian,Apache和OpenSSH的两个IP,这两个IP由法国云计算和网络托管公司Online SAS拥有。

在当前的COVID-19大流行中,Magecart攻击事件增加了20%,这可能是由于人们在家工作导致在线购物的增加。

“来自第7组的最新分离器说明了他们的不断发展,磨练久经考验的真实技术并一直在开发新技术。他们并不是一个人努力改善,坚持和扩大自己的影响力。” RiskIQ指出。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇今年最长的DDoS攻击持续509小时,.. 下一篇谷歌回滚最近推出的Chrome CSRF保..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800