在过去的几个月里，我们发布了四份关于Magecart数字信用卡窃取行动的报告，其中主要针对Ticketmaster，British Airways和Newegg等重大漏洞。在每一份报告中，我们都注意到，Magecart下的六个小组已经加强了他们的行动，在每次攻击中变得更加聪明，并且在许多情况下变得更加复杂。

然而，Magecart行动的一个特别之处是，由于对大多数电子商务网站上运行的代码普遍缺乏可见性，网站所有者和消费者通常不知道第三方在结帐页面上的代码，并且在消费者输入付款信息之前，已被Magecart的skimmer所破坏。

在这篇博客中，我们披露了针对Shopper Approved的另一个大规模Magecart攻击，这是一个在数千个电子商务网站集成的客户评级插件。如果没有RiskIQ快速检测和通知，其趋势就不会如此缓慢。下面我们将提供对此新攻击的分析，并提供Magecart攻击者何时添加skimmer、添加到何处以及受影响网站范围的详细信息。

一、调查

与针对Ticketmaster的攻击类似，此攻击不会直接影响单个商店。相反，它试图通过破坏广泛使用的第三方插件来同时从多个在线商店中略过付款信息。在这种情况下，攻击者感染了Shopper Approved，这是一个为在线商店提供评级服务的机构。

9月15日清晨，RiskIQ收到关于Magecart的事件通知。虽然我们每小时都会收到通知，但此域名（以及受影响的网址）引起了我们的注意。这是事件详细说明：

图-1在RiskIQ内部的Magecart事件

打开数据中的关联页面，我们立即在代码中看到Magecart skimmer。下面是Shopper Approved的正常certificate.js文件的样子：

图-2没有Magecart代码的正常文件

这是相同的脚本，但我们的事件中添加了Magecart skimmer：

图3 Magecart skimmer的外观

这次攻击的一个有趣之处是，上面的截图不是攻击者第一次插入时skimmer的样子（他们犯了一个错误）！在格林尼治标准时间9月15日04:35:07，攻击者修改了certificate.js脚本以包含后面看起来像这样的skimmer：

图-4修改后的脚本

差不多15分钟后，攻击者们在格林威治标准时间04:49:59回来并再次修改脚本，使其看起来像之前截图中显示的那样。他们第一次忘记了对他们的skimmer进行了混淆，这是一个小小的错误，但是它允许我们查看干净的skimmer代码，这是一个很好的参考点。

还有一点需要注意的是，最近Feedify也受到了感染，并且还在他们的脚本中放置了一个skimmer，它使用了与Shopper Approved攻击中使用的相同的服务器（卡被发送到的地方）：info-stat.we。

二、Shopper Approved的外延与清理

一旦我们在Shopper Approved上检测到Magecart skimmer，我们就会通过电子邮件，电话，甚至LinkedIn与他们联系，看看我们是否可以帮助他们提供补救信息。

9月17日星期一格林尼治标准时间15:03:01，skimmer代码从网站密封脚本中删除。从那时起，我们经常与Shopper Approved进行接触，该公司聘请了一家领先的取证公司帮助了解这是如何发生的，以及会受到什么影响。并且还开展了全面的内部调查。

需要注意的一点是受影响的网站数量。虽然Shopper Approved在数千个网站上处于活跃状态，但只有一小部分客户受到影响。我们认为有三个关键因素导致了其影响范围：

1. 越来越多的著名购物车，如Shopify和BigCommerce，正在积极阻止第三方脚本在结帐页面上显示。

2. 大多数Shopper Approved的客户在其实际结帐页面上没有受影响的脚本。

3. skimmer代码仅查找URL中具有特定关键字的结帐页面，并且不会影响没有包含这些关键字的页面。

我们想指出最后一个问题，这或许可以帮助限制未来Magecart攻击的范围。许多网站使用CDN服务进行缓存，我们注意到，通常将skimmer代码缓存在CDN中，并在从受影响的站点清除skimmer后很长时间内保持活动状态。作为网站所有者，请确保在机构被这样的skimmer击中后清除正在执行的任何缓存。

在发布我们的调查结果之前，Shopper Approved的联合创始人Scott Brandley提供了以下评论：

我代表Shopper Approved，亲自感谢RiskIQ团队，他们在如此短的时间内帮助我们检测和保护我们的代码，付出了很大的努力。像RiskIQ这样的公司真正帮助别人的情况很少见，RiskIQ的帮助显著限制了Magecart造成的影响——为此，我们非常感激。

三、总结

Magecart组织正在对电子商务进行全面攻击，并且没有停止的迹象。随着该组织不断的学习如何提高效率，这些攻击只会越来越多。虽然最初的攻击涉及低级Magento商店，但后来的攻击针对的是CDN，以增加其覆盖范围。现在，Magecart的运营人员已经学会调整受感染的CDN，以确保他们所击中的唯一目标网站是在线商店。为了实现他们的目标，他们追踪任何分析公司，CDN或任何为电子商务网站提供功能的服务。

明智之举：如果您拥有一家电子商务公司，最好尽可能从结帐页面中删除第三方代码。许多支付服务提供商已采用这种方法，禁止第三方代码在客户输入其支付信息的页面上运行。

我们将密切关注Magecart组织的行动，并继续公开报道。