1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码(检测为Downloader.JS.TRX.XXJSE9EFF010)。
这些活动很不寻常,因为该组织以将代码注入一些受到侵害的电子商务网站而闻名,然后在我们的监控过程中保持低调。对这些活动的进一步研究表明,skimming代码并未直接注入电子商务网站,而是直接注入法国在线广告公司Adverline的第三方JavaScript库,我们已及时与其取得联系。Adverline处理了这一事件,并与CERT La Poste立即开展了必要的补救措施。
图1:在线skimming攻击的攻击链
图2:访问恶意的web-skimming活动的时间表(上);从1月1日到1月6日(下部)访问国家分布情况。注释:来自趋势科技™云安全智能防护网络™的数据
鉴于攻击的目标针对第三方服务,我们认为它们来自Magecart Group 5,RiskIQ报告称其与几个数据泄露事件有关,例如去年针对Ticketmaster的事件。在RiskIQ的安全研究员Yonathan Klijnsma的帮助下,我们确定这些web-skimming活动是由Magecart Group 12进行的,Magecart Group 12是一个新的Magecart组织。
Magecart Group 12的攻击链
与直接危害目标购物车平台的其他在线skimmer组织不同,Magecart Groups 5和12通过向JavaScript库注入skimming代码来攻击电子商务网站使用的第三方服务。这使得嵌入脚本的所有网站都可以加载skimming代码。定位第三方服务还有助于扩大其覆盖范围,从而允许他们窃取更多数据。
在Adverline的案例中,代码被注入JavaScript库以重新定位广告。这是电子商务网站使用的一种方法,在这些网站上对访问者进行标记,以便提供可以吸引他们回到网站的特定广告。在我们研究的时候,嵌入了Adverline重定向脚本的网站加载了Magecart Group 12的skimming代码,这些代码反过来窃取在网页上输入的支付信息,然后将其发送到远程服务器。
图3:Magecart Group 12向恶意电子商务网站注入的恶意代码
图4:Adverline重定向脚本中注入的恶意代码,旨在加载skimming代码(突出显示)
Skimming Toolkit略读工具包
Magecart Group 12使用了一个skimming工具包,其中包括两个混淆脚本。第一个脚本主要用于反逆向,而第二个脚本是主要的数据skimming代码。它们还包括代码完整性检查,用于检测脚本是否已修改。通过计算脚本部分的哈希值来完成检查,如果发现脚本与原始哈希不匹配,则停止执行脚本。
图5:负责完整性检查的工具包脚本中的代码快照(反混淆)
该脚本还不断清理浏览器调试器控制台消息以阻止检测和分析。其指纹识别程序的一部分包括检查脚本是否在移动设备上运行(通过检查浏览器User-Agent)以及是否有处理程序检查浏览器调试器是否已打开。指纹识别例程确认浏览器会话来自实际的消费者。
图6:负责指纹识别的工具包中的一个脚本的代码快照(反混淆)
Skimming付款数据
第二个脚本,主要的skimming代码,首先检查它们是否在购物网站上执行,检测URL中的相关字符串,如“结账”,“结算”和“购买”等。同样值得注意的是字符串“panier”,意思是法语中的“basket”,德语中的“kasse”或“checkout”。图2显示我们的大多数检测(访问Magecart Group 12控制域名)都在法国,当然在德国也有明显的活动。
如果它在URL中检测到任何目标字符串,则脚本将开始执行skimming行为。一旦在网页的输入表单上输入值而不是空,该脚本将复制表单名称和用户键入的值。被盗的付款和结算数据存储在JavaScript LocalStorage中,key值为Cache。复制的数据是Base64编码的。它还会生成一个随机数来指定个别受害者,并将其保留到LocalStorage中,key值为E-tag。只要用户关闭或刷新付款网页,就会触发JavaScript事件“unload”。然后,脚本通过HTTP POST将skimmed的支付数据,随机数(E-tag)和电子商务网站的域名发送到远程服务器,并在整个发送过程中进行Base64编码。
图7:攻击中使用的主要支付数据 – skimming代码(反混淆)
这些攻击进一步证明了保护运行网站、应用程序或Web应用程序的基础架构的重要性,尤其是那些存储和管理敏感数据的基础架构。定期打补丁和更新软件;禁用、限制或保护过时的组件或第三方插件;并加强证书或认证机制。 IT和安全团队还应主动监控其网站或应用程序是否存在恶意活动迹象,例如未经授权的访问和修改、数据泄露以及未知脚本的执行。
RiskIQ的分析(analysis )进一步揭示了Group 12活动与Magecart的相关性。
IoCs:
Skimming 脚本(SHA-256):
· 56cca56e39431187a2bd95e53eece8f11d3cbe2ea7ee692fa891875f40f233f5
· f1f905558c1546cd6df67504462f0171f9fca1cfe8b0348940aad78265a5ef73
· 87ee0ae3abcd8b4880bf48781eba16135ba03392079a8d78a663274fde4060cd
· 80e40051baae72b37fee49ecc43e8dded645b1baf5ce6166c96a3bcf0c3582ce
相关恶意域名:
· givemejs[.]cc
· content-delivery[.]cc
· cdn-content[.]cc
· deliveryjs[.]cc