Magecart組織開展大規模供應鏈攻擊
在過去的幾個月裡,我們釋出了四份關於Magecart數字信用卡竊取行動的報告,其中主要針對 ofollow,noindex">Ticketmaster , British Airways 和 Newegg 等重大漏洞。在每一份報告中,我們都注意到,Magecart下的六個小組已經加強了他們的行動,在每次攻擊中變得更加聰明,並且在許多情況下變得更加複雜。
然而,Magecart行動的一個特別之處是,由於對大多數電子商務網站上執行的程式碼普遍缺乏可見性,網站所有者和消費者通常不知道第三方在結帳頁面上的程式碼,並且在消費者輸入付款資訊之前,已被Magecart的skimmer所破壞。
在這篇部落格中,我們披露了針對Shopper Approved的另一個大規模Magecart攻擊,這是一個在數千個電子商務網站整合的客戶評級外掛。如果沒有RiskIQ快速檢測和通知,其趨勢就不會如此緩慢。下面我們將提供對此新攻擊的分析,並提供Magecart攻擊者何時新增skimmer、新增到何處以及受影響網站範圍的詳細資訊。
一、調查
與針對Ticketmaster的攻擊類似,此攻擊不會直接影響單個商店。相反,它試圖通過破壞廣泛使用的第三方外掛來同時從多個線上商店中略過付款資訊。在這種情況下,攻擊者感染了Shopper Approved,這是一個為線上商店提供評級服務的機構。
9月15日清晨,RiskIQ收到關於Magecart的事件通知。雖然我們每小時都會收到通知,但此域名(以及受影響的網址)引起了我們的注意。這是事件詳細說明:
圖-1在RiskIQ內部的Magecart事件
開啟資料中的關聯頁面,我們立即在程式碼中看到Magecart skimmer。下面是Shopper Approved的正常certificate.js檔案的樣子:
圖-2沒有Magecart程式碼的正常檔案
這是相同的指令碼,但我們的事件中添加了Magecart skimmer:
圖3 Magecart skimmer的外觀
這次攻擊的一個有趣之處是,上面的截圖不是攻擊者第一次插入時skimmer的樣子(他們犯了一個錯誤)!在格林尼治標準時間9月15日04:35:07,攻擊者修改了certificate.js指令碼以包含後面看起來像這樣的skimmer:
圖-4修改後的指令碼
差不多15分鐘後,攻擊者們在格林威治標準時間04:49:59回來並再次修改指令碼,使其看起來像之前截圖中顯示的那樣。他們第一次忘記了對他們的skimmer進行了混淆,這是一個小小的錯誤,但是它允許我們檢視乾淨的skimmer程式碼,這是一個很好的參考點。
還有一點需要注意的是,最近 Feedify 也受到了感染,並且還在他們的指令碼中放置了一個skimmer,它使用了與Shopper Approved攻擊中使用的相同的伺服器(卡被髮送到的地方):info-stat.we。
二、Shopper Approved的外延與清理
一旦我們在Shopper Approved上檢測到Magecart skimmer,我們就會通過電子郵件,電話,甚至LinkedIn與他們聯絡,看看我們是否可以幫助他們提供補救資訊。
9月17日星期一格林尼治標準時間15:03:01,skimmer程式碼從網站密封指令碼中刪除。從那時起,我們經常與Shopper Approved進行接觸,該公司聘請了一家領先的取證公司幫助瞭解這是如何發生的,以及會受到什麼影響。並且還開展了全面的內部調查。
需要注意的一點是受影響的網站數量。雖然Shopper Approved在數千個網站上處於活躍狀態,但只有一小部分客戶受到影響。我們認為有三個關鍵因素導致了其影響範圍:
1. 越來越多的著名購物車,如Shopify和BigCommerce,正在積極阻止第三方指令碼在結帳頁面上顯示。
2. 大多數Shopper Approved的客戶在其實際結帳頁面上沒有受影響的指令碼。
3. skimmer程式碼僅查詢URL中具有特定關鍵字的結帳頁面,並且不會影響沒有包含這些關鍵字的頁面。
我們想指出最後一個問題,這或許可以幫助限制未來Magecart攻擊的範圍。許多網站使用CDN服務進行快取,我們注意到,通常將skimmer程式碼快取在CDN中,並在從受影響的站點清除skimmer後很長時間內保持活動狀態。作為網站所有者,請確保在機構被這樣的skimmer擊中後清除正在執行的任何快取。
在釋出我們的調查結果之前,Shopper Approved的聯合創始人Scott Brandley提供了以下評論:
我代表Shopper Approved,親自感謝RiskIQ團隊,他們在如此短的時間內幫助我們檢測和保護我們的程式碼,付出了很大的努力。像RiskIQ這樣的公司真正幫助別人的情況很少見,RiskIQ的幫助顯著限制了Magecart造成的影響——為此,我們非常感激。
三、總結
Magecart組織正在對電子商務進行全面攻擊,並且沒有停止的跡象。隨著該組織不斷的學習如何提高效率,這些攻擊只會越來越多。雖然最初的攻擊涉及低階Magento商店,但後來的攻擊針對的是CDN,以增加其覆蓋範圍。現在,Magecart的運營人員已經學會調整受感染的CDN,以確保他們所擊中的唯一目標網站是線上商店。為了實現他們的目標,他們追蹤任何分析公司,CDN或任何為電子商務網站提供功能的服務。
明智之舉:如果您擁有一家電子商務公司,最好儘可能從結帳頁面中刪除第三方程式碼。許多支付服務提供商已採用這種方法,禁止第三方程式碼在客戶輸入其支付資訊的頁面上執行。
我們將密切關注Magecart組織的行動,並繼續公開報道。