網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn)了一種竊取信用卡信息的惡意軟件活動(dòng)，該活動(dòng)主要針對(duì)運(yùn)行Magento的電商網(wǎng)站。為了逃避檢測(cè)，攻擊者將惡意內(nèi)容隱藏在HTML代碼的圖片標(biāo)簽中。

MageCart惡意軟件的新伎倆

MageCart是一種專門從在線購物網(wǎng)站竊取敏感支付信息的惡意軟件。此類攻擊通常會(huì)利用客戶端或服務(wù)器端的技術(shù)手段，通過植入信用卡信息竊取程序來實(shí)施盜竊。通常情況下，這種惡意軟件會(huì)在用戶訪問結(jié)賬頁面輸入信用卡信息時(shí)被觸發(fā)或加載，要么通過展示虛假表單，要么實(shí)時(shí)捕獲受害者輸入的信息。

“MageCart”這一名稱來源于這些網(wǎng)絡(luò)犯罪組織的原始目標(biāo)——為在線零售商提供結(jié)賬和購物車功能的Magento平臺(tái)。多年來，此類攻擊活動(dòng)通過編碼和混淆技術(shù)，將惡意代碼隱藏在看似無害的資源中，如假圖片、音頻文件、網(wǎng)站圖標(biāo)，甚至是404錯(cuò)誤頁面。

Sucuri研究員Kayleigh Martin表示：“在這種情況下，影響客戶端的惡意軟件的目標(biāo)同樣是保持隱蔽。它通過將惡意內(nèi)容隱藏在HTML的<img>標(biāo)簽中來達(dá)到這一目的，使其容易被忽略?！?/p>

利用Onerror事件執(zhí)行惡意代碼

與普通的<img>標(biāo)簽不同，此次攻擊中的<img>標(biāo)簽充當(dāng)了誘餌，其中包含指向JavaScript代碼的Base64編碼內(nèi)容。當(dāng)檢測(cè)到onerror事件時(shí)，該代碼就會(huì)被激活。這種攻擊方式更加隱蔽，因?yàn)闉g覽器默認(rèn)信任onerror函數(shù)。

Martin解釋說：“如果圖片加載失敗，onerror函數(shù)會(huì)觸發(fā)瀏覽器顯示一個(gè)破損的圖片圖標(biāo)。然而，在此次攻擊中，onerror事件被劫持以執(zhí)行JavaScript代碼，而不僅僅是處理錯(cuò)誤?！?/p>

此外，攻擊者還利用了<img>HTML元素的“無害性”來增加攻擊的成功率。惡意軟件會(huì)檢查用戶是否處于結(jié)賬頁面，并等待毫無戒備的用戶點(diǎn)擊提交按鈕，從而將他們輸入的敏感支付信息竊取到外部服務(wù)器。

惡意腳本的設(shè)計(jì)目的是動(dòng)態(tài)插入一個(gè)包含三個(gè)字段（卡號(hào)、有效期和CVV）的惡意表單，并將竊取的信息發(fā)送到wellfacing[.]com。

Martin補(bǔ)充道：“攻擊者通過這個(gè)惡意腳本實(shí)現(xiàn)了兩個(gè)令人印象深刻的目標(biāo)：一是將惡意腳本編碼到<img>標(biāo)簽中以規(guī)避安全掃描器的檢測(cè)，二是確保最終用戶在惡意表單被插入時(shí)不會(huì)注意到異常變化，從而盡可能長時(shí)間地保持隱蔽?！?/p>

針對(duì)電商平臺(tái)的持久性攻擊

針對(duì)Magento、WooCommerce、PrestaShop等平臺(tái)的攻擊者，其目標(biāo)是盡可能長時(shí)間地不被發(fā)現(xiàn)。他們注入網(wǎng)站的惡意軟件通常比影響其他網(wǎng)站的常見惡意軟件更為復(fù)雜。

與此同時(shí)，網(wǎng)絡(luò)安全公司還詳細(xì)披露了一起涉及WordPress網(wǎng)站的事件。攻擊者利用mu-plugins（或必用插件）目錄植入后門，并以隱蔽方式執(zhí)行惡意PHP代碼。

Puja Srivastava指出：“與常規(guī)插件不同，必用插件在每次頁面加載時(shí)都會(huì)自動(dòng)加載，無需激活或出現(xiàn)在標(biāo)準(zhǔn)的插件列表中。攻擊者利用此目錄來保持持久性并規(guī)避檢測(cè)，因?yàn)榉胖迷诖颂幍奈募?huì)自動(dòng)執(zhí)行，并且無法通過WordPress管理面板輕易禁用?！?/p>