黑客针对商用路由器,在购物网站中注入信用卡盗窃代码
Magecart 5的目标是在机场,赌场,酒店和度假村等中使用的第7层路由器,以窃取美国和中国流行购物网站上的信用卡数据。来自IBM X-Force事件响应和情报服务(IRIS)团队的研究人员确定了一次针对商业级第7层路由器的Magecart活动,该活动用于大型场所,这些场所为机场,赌场,酒店和度假村等瞬态用户群提供服务来自在美国和中国网站上购物的用户的信用卡数据。
有问题的路由器能够使用此连接将广告注入网站上查看的网页中,以降低运行免费Wi-Fi服务的成本。尽管IRIS很快注意到没有证据表明供应商受到损害,但攻击者正在探索设备供应商提供的资源。
请参阅: 新网络安全专家的10个技巧(免费PDF) (TechRepublic)
IRIS识别了大约17个上传到VirusTotal的文件,这些文件有微小的变化和行为差异,包括JavaScript撇取器,引荐来源重定向器,随机域生成器和脚本注入器。恶意行为者将测试代码上传到VirusTotal,以确定是否将有效负载检测为威胁是一种常见做法。
新颖的部分是攻击中利用的资源。根据IRIS的说法,Level 7路由器可以“以很高的营业额访问大量的俘虏用户,例如在机场或旅馆中,”这使其成为“对于希望破坏支付数据的攻击者来说非常有利的概念。我们相信[Magecart]的目的是寻找并感染L7路由器加载的Web资源及其恶意代码,还可能注入恶意广告,俘虏用户必须点击这些恶意广告才能最终连接到Internet。”
IRIS建议电子商务零售商使用扩展黑名单,并仔细检查供应商提供的JavaScript文件以确保完整性。
Magecart指的是至少12个不同的,出于财务动机的网络犯罪集团,它们利用在线掠夺攻击来窃取信用卡数据。这些组中最活跃的组,即Magecart 5(MG5),被IRIS认为是路由器攻击的起源。
IRIS报告着陆于Magecart威胁团体的活动之中。有关更多信息,请在ZDNet上查看“ 因欺诈性广告计划而复活的旧Magecart网络域 ”和“ Magecart再次罢工:酒店预订网站遭到抨击 ”。
评论专区