Magecart新趋势：伪装为供应商服务代码片段，窃取敏感数据

Akamai安全研究团队近期发现，一种新型复杂的Magecart网络攻击行为，正肆虐于多个电商网站。Magecart的敛财手段，表现为将恶意JavaScript代码注入支付页面，持续捕获消费者信用卡号和个人详细信息，并将其发送到攻击者的服务器。

在今天，威胁升级的Magecart攻击形式，会使用冒充合法的第三方供应商（如谷歌标签管理器）以及通过Base64编码隐藏恶意代码等技术。近期安全事件中，加拿大头部酒类零售商正在遭受此类攻击。

反侦察、伪造能力升级

在攻击路径上，这种新型Magecart模式，可划分为伪造隐藏代码、确认攻击目标、混淆代码逻辑、骗取敏感数据等环节，隐蔽性超过以往攻击手段。

新型Magecart攻击路径

·模拟供应商代码

Magecart的内联脚本，会让攻击者通过将恶意代码隐藏在已知供应商背后，伪装成合法脚本。此外，使用Base64编码的skimmer脚本，更易于混淆任何可能揭示恶意代码的信息，提高隐蔽性。

·使用WebSockets和eval函数

这两种函数允许恶意代码作为第一方脚本，执行于页面上下文和可能在目标网站上运行的扫描仪中，比传统的XHR请求或HTML标记不易被发现，研究人员、安全服务很难检测到。

·执行代码检查

攻击者的C2 服务器会向攻击页面发送两项检查代码：一方面验证是否已通过加载程序代码中定义的全局变量建立WebSocket连接；另一方面，验证是否包含提交按钮的支付页面。确认攻击目标后，C2服务器则返回定制化的恶意代码。

·混淆代码

在验证获取服务器实际攻击代码后，Magecart攻击团伙通常采用混淆技术，使得安全专家难以辨识底层逻辑和攻击进程，从而在破译攻击时停滞不前。

·插入虚假表格

部分电商/零售公司会将支付流程进行外包，窃密脚本由此将客户重定向到第三方供应商前在页面上创建伪造的信用卡表单，随后将所有收集到的数据发送到C2服务器，并允许用户通过重定向到真实支付页面完成支付流程，全程不漏痕迹。

C2,Command and Control,命令与控制。攻击形式上，攻击者会应用恶意软件来发起交互，对攻击目标施害与控制。

套路有限，同一框架暴露

通过对多起安全事件的调查，Akamai安全研究团队发现案例间的相似之处——攻击者使用了相同的Magecart框架。在假冒成带有编码参数的伪造谷歌标签管理器时，攻击参数隐藏了在多个受害者网站上发现的全部痕迹。

多数情况下，实际的攻击代码是由相关页面加载程序代码获取，而攻击者使用的域因网站而异。这都是为了使攻击更加隐蔽和更难检测。简而言之，攻击套路要点表现如下：

收藏Magecart攻击小贴士

·模拟具有影响力的供应商代码片段，例如谷歌标签管理器

·使用Base64编码隐藏如URL和域等攻击者的全部指标

·实现浏览器和C2的所有通信，提取攻击代码、泄露数据

·使用eval函数发起攻击，使伪装脚本更像是第一方脚本

·使用混淆技术，使安全研究人员难以理解代码和攻击逻辑

·重定向到合法第三方支付页面前，注入虚假表格收集数据

使用Akamai Page Integrity Manager检测威胁

探明新型Magecart攻击原理之外，Akamai安全研究团队也针对该威胁展开Akamai Page Integrity Manager解决方案的性能测试。部署之后，结果显示该攻击立即得到识别和缓解。

Akamai Page Integrity Manager故障排除详情

这项安全产品，是专为防止网页浏览、表单劫持和Magecart攻击而构建，通过汇集大数据、启发式、风险评分、人工智能等综合检测方法，可提供对网页脚本执行行为的可见性，及时发现潜藏暗处的恶意脚本，以及它们与其他脚本的关系，快速检测和防御客户端攻击。

全新的支付卡行业数据安全标准(PCI DSS v4.0)的新要求，强调现在任何在线处理支付卡的组织，都需保障浏览器内的数据安全。在可预见的Magecart攻击升级形势下，Akamai安全研究团队将应用包含Akamai Page Integrity Manager在内的一整套检测和防御安全解决方案，来帮助企业防范信誉受损和免却数据泄露所致的巨额罚款。

相关推荐: 德国、荷兰遭遇强飓风袭击！铁路、航运、空运交通陷入严重瘫痪

1月18日，飓风“Friederike ”（弗里德里克）袭击了欧洲西北部，造成了至少7人死亡，大量树木和卡车被推倒、电线被吹倒。在荷兰、比利时和德国，飞机被迫停飞、道路和铁路交通也因此中断。 德国联邦铁路暂停了全国各地的长途火车服务，并在几个州取消了地区铁路交…