Magecart黑客现在在网站图标中隐藏了基于PHP的后门

admin 2021年5月17日01:47:21评论35 views字数 1456阅读4分51秒阅读模式

更多全球网络安全资讯尽在邑安全

Magecart黑客现在在网站图标中隐藏了基于PHP的后门网络犯罪组织正在散布伪装成网站图标的恶意PHP Web Shell,以维持对受感染服务器的远程访问,并将JavaScript撇取者注入在线购物平台,目的是从其用户那里窃取财务信息。

Malwarebytes Jérôme Segura在周四的文章中说: “这些被称为Smilodon或Megalodon的Web外壳用于通过服务器端请求将JavaScript浏览代码动态加载到在线商店中。” “这种技术很有趣,因为大多数客户端安全工具将无法检测或阻止过滤器。”

在电子商务网站上注入网络窃取者以窃取信用卡详细信息是Magecart的一种经过实践检验的作案手法,Magecart是针对在线购物车系统的不同黑客团体的联合体。窃取者也称为形式劫持攻击,其采取JavaScript代码的形式,运营商通常在支付页面上将其偷偷插入电子商务网站中,以实时捕获客户的卡详细信息并将其传输到远程服务器。

当客户访问相关在线商店时,注入过滤器通常是通过向托管在攻击者控制的域中的外部JavaScript资源发出客户端请求来起作用的,但最新的攻击方式有所不同,因为过滤器代码被引入了商家站点在服务器端动态地运行。

Magecart黑客现在在网站图标中隐藏了基于PHP的后门基于PHP的Web Shell恶意软件以favicon(“ Magento.png”)的身份冒用,通过篡改HTML代码中快捷方式图标标签以指向伪造的PNG图像文件,将恶意软件插入受感染的站点反过来,此Web Shell配置为从外部主机检索下一阶段的有效负载,该信用卡分离器与去年9月Cardbleed攻击中使用的另一个变体具有相似之处,这表明威胁行为者在公开披露后对其工具集进行了修改。

Magecart黑客现在在网站图标中隐藏了基于PHP的后门

Malwarebytes根据所采用的策略,技术和程序的重叠将最新的活动归因于Magecart Group 12,并补充说:“我们发现的最新域名(zolo [.] pw)恰好位于同一IP地址(217.12.204 [ .] 185)作为recaptcha-in [。] pw和google-statik [.] pw,以前与Magecart Group 12相关联的域。”

Magecart参与者的主要目的是捕获和泄露支付数据,在过去的几个月中,他们采用了各种各样的攻击媒介,以躲在雷达下,避免被发现和掠夺数据。从将卡片盗窃者代码隐藏在图像元数据中,进行IDN同形异义词攻击,隐藏在网站的favicon文件中的工厂网络浏览器,到使用Google Analytics(分析)Telegram作为渗透渠道,网络犯罪集团都在加大力度打击在线商店。

勒索已变得如此普遍和有利可图,以至于拉扎鲁斯集团(Lazarus Group)是与朝鲜有联系的国家资助的黑客团体,它通过恶意JavaScript嗅探器接受接受加密货币付款的网站,以发起名为“ BTC Changer ”的新活动,以窃取比特币和以太坊。从去年年初开始。

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2021/05/magecart-hackers-now-hide-php-based.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

Magecart黑客现在在网站图标中隐藏了基于PHP的后门

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):Magecart黑客现在在网站图标中隐藏了基于PHP的后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月17日01:47:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Magecart黑客现在在网站图标中隐藏了基于PHP的后门http://cn-sec.com/archives/375612.html

发表评论

匿名网友 填写信息