网络窃取攻击活动
网络安全研究人员发现了一项自2022年1月以来持续进行的大规模网络窃取活动。该活动的目标是依赖主要支付网络的企业,包括美国运通、大莱卡、Discover、JCB株式会社、万事达卡和银联。将这些支付服务集成到其在线结账系统中的公司被认为面临最高风险。
目录
数字掠夺和Magecart的演变
数字窃取攻击是一种客户端入侵攻击,攻击者会将恶意 JavaScript 代码注入合法的电子商务网站和支付门户。注入的代码会在客户输入支付信息时悄无声息地窃取信用卡数据和个人信息。
这种活动属于通常被称为“Magecart”的更广泛范畴。该术语最初指的是专注于基于Magento的电子商务网站的松散的网络犯罪团伙,但后来其含义已扩展到涵盖跨多个平台和技术的窃取信息行为。
与规避制裁相关的基础设施
该活动是在对与 Stark Industries 相关的可疑域名进行调查时发现的。Stark Industries 是一家提供防弹主机服务的公司,但已被制裁。其母公司 PQ.Hosting 后来将该服务更名为 THE.Hosting,目前由荷兰公司 WorkTitans BV 运营,据报道此举是为了规避制裁。
发现域名 cdn-cookie(dot)com 托管了经过高度混淆的 JavaScript 文件,例如“recorder.js”和“tab-gtm.js”。这些脚本被嵌入到被入侵的在线商店中,从而实现了隐蔽的信用卡信息窃取。
通过自毁和环境意识实现隐秘
该窃取程序经过精心设计,能够主动规避网站管理员的检测。它会检查文档对象模型 (DOM) 中是否存在“wpadminbar”元素,该元素是 WordPress 管理员或特权用户登录后可见的工具栏元素。如果检测到该元素,恶意软件会立即触发自我移除程序,将自身从页面中删除。
为了在正常浏览过程中保持持久性,每次页面 DOM 发生变化时,窃取程序都会尝试执行,这在现代网站的用户交互过程中很常见。
利用界面操控将 Stripe 武器化
恶意代码包含专门设计的逻辑,旨在利用基于 Stripe 的结账流程。当选择 Stripe 付款时,窃取程序会检查 localStorage 中是否存在名为“wc_cart_hash”的条目。如果该值不存在,它会创建该键并准备窃取数据。
此时,恶意软件会动态地将合法的Stripe支付表单替换为伪造的表单。通过巧妙的界面操控,受害者会被诱骗在伪造的表单中输入他们的卡号、有效期和安全码(CVC)。
提交后,页面返回错误消息,使人误以为付款失败是由于信息不正确而不是恶意干扰造成的。
数据盗窃、泄露和清理
被盗信息不仅限于支付卡详情,还包括姓名、电话号码、电子邮件地址和收货地址。窃取程序通过 HTTP POST 请求将这些数据传输到 lasorie(dot)com。
窃取过程完成后,恶意软件会移除虚假表单,恢复合法的 Stripe 界面,并从结账页面删除其活动痕迹。然后,它会将“wc_cart_hash”设置为“true”,以确保窃取程序不会再次针对同一受害者运行。
基于深厚平台知识的攻击链
研究人员指出,攻击者对 WordPress 内部机制展现出深入的了解,甚至在攻击过程中也利用了一些鲜为人知的平台功能。这种知识深度,加上其复杂的规避和界面操控技术,凸显了此次攻击行动的成熟度和持续性。
