Magecart黑客现在在网站图标中隐藏了基于PHP的后门

网络犯罪组织正在散布伪装成网站图标的恶意PHP Web Shell，以维持对受感染服务器的远程访问，并将JavaScript撇取者注入在线购物平台，目的是从其用户那里窃取财务信息。

Malwarebytes Jérôme Segura在周四的文章中说： “这些被称为Smilodon或Megalodon的Web外壳用于通过服务器端请求将JavaScript浏览代码动态加载到在线商店中。” “这种技术很有趣，因为大多数客户端安全工具将无法检测或阻止过滤器。”

在电子商务网站上注入网络窃取者以窃取信用卡详细信息是Magecart的一种经过实践检验的作案手法，Magecart是针对在线购物车系统的不同黑客团体的联合体。窃取者也称为形式劫持攻击，其采取JavaScript代码的形式，运营商通常在支付页面上将其偷偷插入电子商务网站中，以实时捕获客户的卡详细信息并将其传输到远程服务器。

当客户访问相关在线商店时，注入过滤器通常是通过向托管在攻击者控制的域中的外部JavaScript资源发出客户端请求来起作用的，但最新的攻击方式有所不同，因为过滤器代码被引入了商家站点在服务器端动态地运行。

基于PHP的Web Shell恶意软件以favicon（“ Magento.png”）的身份冒用，通过篡改HTML代码中的快捷方式图标标签以指向伪造的PNG图像文件，将恶意软件插入受感染的站点。反过来，此Web Shell配置为从外部主机检索下一阶段的有效负载，该信用卡分离器与去年9月在Cardbleed攻击中使用的另一个变体具有相似之处，这表明威胁行为者在公开披露后对其工具集进行了修改。

Malwarebytes根据所采用的策略，技术和程序的重叠，将最新的活动归因于Magecart Group 12，并补充说：“我们发现的最新域名（zolo [.] pw）恰好位于同一IP地址（217.12.204 [ .] 185）作为recaptcha-in [。] pw和google-statik [.] pw，以前与Magecart Group 12相关联的域。”

Magecart参与者的主要目的是捕获和泄露支付数据，在过去的几个月中，他们采用了各种各样的攻击媒介，以躲在雷达下，避免被发现和掠夺数据。从将卡片盗窃者代码隐藏在图像元数据中，进行IDN同形异义词攻击，隐藏在网站的favicon文件中的工厂网络浏览器，到使用Google Analytics（分析）和Telegram作为渗透渠道，网络犯罪集团都在加大力度打击在线商店。

勒索已变得如此普遍和有利可图，以至于拉扎鲁斯集团（Lazarus Group）是与朝鲜有联系的国家资助的黑客团体，它通过恶意JavaScript嗅探器接受接受加密货币付款的网站，以发起名为“ BTC Changer ”的新活动，以窃取比特币和以太坊。从去年年初开始。

原文来自: thehackernews.com