NBA球队亚特兰大老鹰的网上商店遭遇信用卡窃取类水坑攻击

释放双眼,带上耳机,听听看~!


特兰大老鹰职业NBA篮球队的网上商店注入了恶意代码,允许攻击者窃取客户的信用卡信息。

这种类型的攻击被称为MageCart感染,当攻击者破坏电子商务网站以将JavaScript注入结账或购物车页面时。然后,此脚本会窃取输入这些页面的信用卡和地址信息,并将其发送到远程服务器以供攻击者收集。

在线信用卡窃贼 – 也被称为Magecart。

去年,MageCart对网上商店的攻击激增,最终导致英国航空公司和Ticketmaster的黑客入侵。今年的趋势仍在继续,另一个备受瞩目的目标。据报道,亚特兰大老鹰队每年有700万次点击,此次被发现信用卡泄密。

去年本公众号也曾报道过

1、Magecart旗下威胁组织剖析大报告

2、Magecart威胁组织


根据Sanguine Security的说法,4月20日在亚特兰大老鹰队在线商店的结账页面上发现了MageCart脚本,如下所示。

脚本注入hawksshop.com


注入页面时,此脚本被混淆,但当研究人员对其进行反混淆处理时,您可以看到与脚本收集的信用卡相关的一些字段。

反混淆脚本中的字符串


实际上,当受害者在付款表单中输入信用卡时,它会拦截键盘记录。在进行测试购买时可以观察到此活动。使用Chrome开发者工具,我们发现在结帐时会向域名imagesengines.com发出额外请求:


连接到远程站点

正如预期的那样,payload是受害者填写的(编码)名称,地址和卡片。

exfiltration域名imagesengines.com仅在3月25日注册,与合法商店无关。它是Leaseweb的host主机,Leaseweb是犯罪分子中的一个受欢迎的ISP。


攻击者是如何获得访问权限的

亚特兰大老鹰商店经营着Magento Commerce Cloud 2.2,这是Adobe拥有的企业级电子商务系统。虽然Magento本身非常安全,但攻击者经常使用不安全的第三方组件来访问商店系统的核心。之前的研究发现了一系列流行的攻击载体:数据库管理工具,营销插件和连接会计软件位居前三。

目前该球队商店官网暂停服务以便进行维护。

参考链接:

https://labs.sansec.io/2019/04/24/atlanta-hawks-magecart/

近期看点(点击即可):


欢迎下方长按识别二维码关注本公众号

更多情报和数据,请关注公众号,点击菜单栏,扫码加入知识星球

感谢您的关注和转发

右下角

朕已阅

本文源自微信公众号:黑鸟

人已赞赏
安全工具

一个从事菠菜狗推的黑产团伙的黑吃黑历程

2019-10-16 10:41:07

安全工具

【世界读书日】随文章读一读具有波斯风味的网络间谍工具代码

2019-10-16 10:41:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索