从事JavaScript卡嗅探攻击(也称为Magecart攻击)的网络犯罪组织已将其行动缓慢地扩展到目标平台,除了最初在2015-2016年这类攻击开始时所基于的Magento商店之外。
如今,新的研究表明,所有在线购物平台都是目标市场,需要对其进行检查以防止其结帐过程受到损害,在此期间,黑客可能会尝试记录和窃取在结帐和付款表格中输入的支付卡数据。
例如,威胁情报公司RiskIQ今天发布的一份报告详细介绍了针对OpenCart和OSCommerce网站这两种鲜为人知的在线商店解决方案正在进行的Magecart攻击。
该公司表示:“通过阅读OpenCart和OsCommerce论坛,我们可以找到多个实例,管理员可以确定它们遭到了破坏。”
事实证明,这些感染是由RiskIQ 跟踪的Magecart Group 12实施的协调攻击,专门针对OpenCart平台。
但是其他平台也成为目标。Group-IB上个月发布的一份报告还强调了针对Shopify和(WordPress)WooCommerce商店的持续攻击。
Sanguine Security的Willem de Groot在去年8月接受 ThreatPost 采访时还描述了专门针对WooCommerce平台的Magecart攻击。
从MAGENTO到...其他
越来越明显的是,曾经被视为对Magento构成威胁的JavaScript嗅探器现在已威胁到所有在线商店平台,可能是自托管解决方案或基于云的商业SaaS平台。
RiskIQ威胁研究人员Yonathan Klijnsma在今天发布的一份报告中说:“组织需要了解掠夺者可以在任何网络环境中捕食,并且我们会在遥测数据中看到针对每个在线购物平台的情况。”
这一切都说得通。JavaScript卡嗅探是指在处理结帐操作的页面上加载恶意脚本,该恶意脚本会秘密记录用户的支付卡详细信息并将数据发送到远程服务器。
从事此类攻击的第一批人员使用了Magento电子商务平台中的漏洞,因为当时Magento是使用最广泛的解决方案,并且是完美的攻击面。
但是今天的电子商务商店场景更加多样化,感兴趣的商店所有者可以使用许多其他电子商务平台。
此外,Magecart黑客组织的数量也有所增加,将竞争团伙推向其他平台以寻找新的受害者。
JAVASCRIPT卡嗅探器变得不可知
尽管今天发布的RiskIQ报告重点介绍了针对基于OpenCart的商店的一系列攻击,但Magecart团体并不仅仅局限于Magento,WooCommerce,OpenCart或OSCommerce平台。
这些组将利用他们可能利用的任何漏洞,并侵入运行结帐页面的任何网站。由RiskIQ,Group-IB和其他公司发现的最新JavaScript卡嗅探器脚本似乎被设计为与技术无关的,并且在过去的几个月中,它们已得到扩展,以包括支持从越来越多的窃取卡数据中窃取卡数据。结帐页面格式和付款网关。
就在本周早些时候,Sanguine Security 发现了其中一种多功能脚本,该脚本已被编码为从57个不同的支付系统中收集数据,显示了JavaScript卡嗅探器场景是如何从专注于狭窄的Magento互联网地带的过去演变而来的商店,到目前的状态,任何在线商店,无论其底层技术或支付网关如何,都可能受到攻击。
正如RiskIQ在去年的报告中提到的那样,这些组织不再只是利用Magento漏洞。其中一些威胁者,例如追踪到Magecart组#4,#5,#6或#12的威胁行为者,已经从针对商店本身发展到针对其供应链(小工具,插件或商店)。
基于商业云的平台也面临风险
最近集中于损害供应链供应商的趋势也使这些组织能够感染各种各样的平台,从自助商店到基于云的平台,例如Magento,Shopify,Wix,Squarespace,X-购物车,OpenCart和其他许多在线销售的在线商店解决方案。
去年秋天,当Magecart成为Infosec社区中每个人的热门话题时,ZDNet接触了几家基于云的在线商店系统的提供商,并询问了他们为防止JavaScript卡嗅探器感染其机群而建立的安全系统。在线商店并窃取客户数据。
在我们接触的七个平台中,只有两个做出了回应-BigCommerce和Shopify。
在这两个平台中,Shopify可能采取了最佳的安全措施,因为该平台不允许“用于信用卡收集和处理的自定义,例如包含第三方JavaScript”。
这意味着用户和攻击者都无法以任何方式修改Shopify的支付卡条目和处理脚本,除非他们损害了Shopify自身。
同样,BigCommerce还部署了一系列网络安全保护措施,包括“外围和特定于服务器的防火墙,Web应用程序防火墙,文件完整性监视器,入侵检测系统,站点范围的HTTPS,24/7人工监视以及由PCI认证的常规渗透测试”信息安全服务提供商。” BigCommerce IT,安全和技术运营副总裁Scott Baker去年在一份两页的文件中对ZDNet进行了详细介绍,详细介绍了该公司的安全实践。
“尽管BigCommerce API允许以编程方式更改BigCommerce商店中包含的脚本,但结帐页面(最常使用这些API的页面)包含需要其他保护范围的额外保护。这些保护范围只能通过PCI在我们的市场中列出,兼容的公司,并且安装时必须由第三方应用程序请求。此外,BigCommerce要求在商人可以手动更改其结帐脚本之前签署明确的协议。”
Wix,OpenCart Cloud,Magento和X-Cart之类的公司未返回评论请求。Squarespace不想发表评论。
JS撇取利润与ATM撇取相同
由于从在线商店获得的支付卡价格与从ATM掠夺中获得的支付卡价格相等,因此对在线商店的攻击有望继续进行,甚至加剧。
此外,RiskIQ还看到Magecart集团将业务从JS卡浏览扩大到收集其他详细信息(例如可以在线出售的登录凭证)作为辅助收入来源。
RiskIQ的Klijnsma补充说:“在任何平台上规避攻击都是一个关键问题,因为尽管当前支付数据是重点,但我们已经看到了窃取登录凭据和其他敏感信息的举动。”
专家说:“这使Magecart潜在受害者的范围远远超出了电子商务本身,”通过允许Magecart小组利用JS嗅探代码进行武器化和货币化,这些JS嗅探代码意外地和无意间落在了没有购物体验的网站上用。