Magecart 黑客将窃取的信用卡数据隐藏到图像中以进行规避检测

Magecart 组织的网络犯罪分子已经掌握了一种新技术，该技术可以混淆评论块中的恶意软件代码，并将窃取的信用卡数据编码到托管在服务器上的图像和其他文件中，这再次证明了攻击者如何不断改进他们的感染链以逃避检测。

“一些 Magecart 演员采用的一种策略是将刷过的信用卡详细信息转储到服务器上的图像文件中 [以避免引起怀疑，”Sucuri 安全分析师 Ben Martin在一篇文章中说。“以后可以使用简单的GET 请求下载这些文件。”

Magecart 是针对电子商务网站的多组网络犯罪分子的统称，他们的目标是通过注入恶意 JavaScript 浏览器并在黑市上出售来掠夺信用卡号。

Sucuri根据威胁行为者采用的策略、技术和程序 (TTP) 的重叠，将这次攻击归因于Magecart Group 7。

在 GoDaddy 旗下的安全公司调查的一个 Magento 电子商务网站感染实例中，发现撇渣器以Base64 编码的 压缩字符串的形式插入到结账过程中涉及的一个 PHP 文件中。

更重要的是，为了进一步掩盖 PHP 文件中恶意代码的存在，据说攻击者使用了一种称为串联的技术，其中将代码与附加注释块相结合，“在功能上没有任何作用，但它增加了一层混淆让它更难被发现。”

最终，攻击的目标是在受感染的网站上实时捕获客户的支付卡详细信息，然后将这些详细信息保存到服务器上的伪造样式表文件 (.CSS) 中，然后在威胁参与者的最后下载发出 GET 请求。

“Magecart 对电子商务网站的威胁越来越大，”马丁说。“从攻击者的角度来看：获益巨大而后果不存在，他们为什么不呢？通过在黑市上窃取和出售被盗信用卡来发财。”

原文来自: thehackernews.com