滥用404页面的新型Magecart活动

发布时间：2023-12-28 23:24:40 所属栏目：安全来源：DaWei

导读： 近日，Akamai安全情报小组的研究人员发现，一种复杂且隐蔽的Magecart web skimming活动已经瞄准Magento和WooCommerce网站。此外，一些食品和零售行业的大型组织也都受到了影响。

一、新型

近日，Akamai安全情报小组的研究人员发现，一种复杂且隐蔽的Magecart web skimming活动已经瞄准Magento和WooCommerce网站。此外，一些食品和零售行业的大型组织也都受到了影响。

一、新型Magecart攻击活动
Magecart攻击通常从利用目标网站中的漏洞或感染这些网站正在使用的第三方服务开始。而在此次活动中，研究人员检测到的所有受害网站都被直接利用，因为恶意代码片段被注入了他们的第一方资源中。在某些情况下，恶意代码被插入到HTML页面中；在其他情况下，它被隐藏在作为网站一部分加载的某个第一方脚本中。

与许多其他Magecart攻击活动一样，此攻击活动的攻击基础结构由三个主要部分组成：加载程序、恶意攻击代码和数据渗漏。

加载程序——简短、晦涩的JavaScript代码片段，负责加载攻击的完整恶意代码；

恶意攻击代码——执行攻击的主要JavaScript代码，负责检测敏感输入、读取数据、中断签出过程并注入假表单；

数据泄漏——用于将窃取的数据传输到攻击者控制的C2服务器。

研究人员解释称，将攻击分为三个部分的目的是隐藏攻击，使其更难以被发现。这允许在特定目标页面上激活完整的攻击流程；也就是说，由于攻击者使用的混淆措施，整个攻击流程的激活只能发生在攻击者想要执行的地方。这使得攻击更加隐蔽，更难以被安全服务和外部扫描工具检测到。

尽管大多数Magecart活动在流程和阶段上都存在相似之处，但将一个活动与另一个活动区分开来的是攻击者使用的各种隐藏技术。这些技术被用来掩盖攻击的基础设施、行动痕迹、复杂化检测与逆向工程，并最终延长攻击时间。

二、活动的三种变体
研究人员发现，该攻击活动存在三种不同的变体，下表展示了区块链攻击的演变以及大部分攻击者随着区块链项目时间的推移所做的改进，目的是可以用于逃避针对该加密货币的攻击活动的检测和缓解。
以下为三个变体的概述：
前两个变体非常相似，只有加载程序部分的细微差异。
第三个版本是独特的，因为攻击者使用网站默认的404错误页面来隐藏他们的恶意代码；这是一种前所未见的创造性隐藏技术。

三、变体1
研究人员最初在一家大型企业的网站上发现了一些可疑代码片段，在对其进行分析后，研究人员发现它们是恶意编码的JavaScript加载程序，这些加载程序仍然存在并在网站上活跃。这一发现促使他们进一步调查，并揭示了整个活动及其对众多网站的影响。

（编辑：我爱故事小小网_铜陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!