- A+
该组的撇油器增加了一些窃取管理员凭据的功能。
Magecart罪犯系列中不断增长的威胁组织已经发展为不仅可以从网站访问者那里浏览数据,还可以从网站管理员那里浏览数据。 研究人员说,这种新功能可能让Magecart的坏人升级攻击并渗透到组织中。
这个被称为第11组的小组是最近11月隐形眼镜商家VisionDirect数据泄露的幕后推手。 在那次攻击中,犯罪分子窃取了使用数字撇渣器访问商家网站的客户的数据。 但在周二发布的第11组和攻击事件的新分析中,RiskIQ的研究人员表示,对手已经在其武器库中增加了一个新的关键词过滤技巧。
新功能使第11组能够执行Magecart附属组织中从未见过的事情,例如从站点管理员窃取凭证(或基本数据)。
“关键词过滤的这种变化是一个新的发展,但我们并不感到惊讶,”RiskIQ的研究人员Yonathan Klijnsma和Jordan Herman说。 “网络浏览对威胁行为者有许多优点,可用于许多事情。 窃取凭证是我们期望更早看到的东西,但它似乎只是刚刚触及该集团的运营方面。“
VisionDirect违规 - 比思想更重要
在关于数据泄露的通知中 ,商家VisionDirect表示它发生在11月3日至8日之间,并且客户的“个人和财务细节”受到了损害。
该数据包括VisionDirect.co.uk访客的全名,地址,电话号码,电子邮件地址,密码和支付卡数据(卡号,有效期和CVV号)。
然而,RiskIQ研究人员周二表示,他们发现了这一漏洞的两个特征,使其更加阴险。
首先,该漏洞远远超出了公司的英国网站,包括其他六个国家,包括意大利,西班牙,爱尔兰,法国,比利时和荷兰。
这些站点使用相同的设计模板,并且都托管在同一个IP上 - 这意味着Group 11能够通过点击主服务器同时危及所有站点。
更重要的是,Group 11的撇油器增加了一些功能,这些功能还可以窃取管理员的凭据或基本信息。 虽然撇渣器与其他Magecart附属组的撇油器没有区别,但是第11组使用它与关键字相关的方式是。
Magecart以使用基于网络的数字卡片撇取器而闻名,这些撇取器使用注入网站的脚本来窃取直接或通过这些网站使用的受损第三方供应商在电子商务网站上输入在线支付表格的数据。 这些其他收油人使用关键字来过滤页面,以确保正在撇取付款表单。
“URL路径过滤,通常用于确保收油机仅在付款页面上运行,包括指示其他页面(包括登录和管理页面)定位的关键字,”研究人员说。
但是,通过在JavaScript撇渣器代码中添加一些其他关键字(例如关键字:管理员,帐户,登录名和密码),第11组还可以从包含这些关键字的页面中略读信息 - 这意味着撇去的数据将包含研究人员说,网站用户以及可能的管理员在网站的受限管理部分上执行操作。
“获取行政凭证或信息对于进一步破坏组织可能是有用的,”Klijnsma告诉Threatpost。 “至于网络访问者的数据,第11组可能会试图通过不同的零售商获取存储的信息或凭证填充攻击,以便重新使用其凭据的人。 收获的行政信息也是如此。“
Magecart:持续威胁
自2015年开始运营的Magecart集团因近期发生的一系列违规行为而受到指责,其中包括迄今为止在野外看到的最多产的偷车行动之一,以及今年早些时候大规模违反Ticketmaster ,Klijnsma在最近的一次播客采访中告诉Threatpost。
Magecart由各种不同的团体组成(RiskIQ确定了七个) - 每个团体都有自己的工具和特征。
例如,“第5组”支持Ticketmaster违规,而“第6组”则落后于英国航空公司和Newegg违规行为。
研究人员称,“第11组”在2017年初首次被观察到,尽管与其他组相比基础设施相对较小,但他们已经能够妥协大部分网站,这可能是“我们的一百多个网站”。最近的数据,但看到他们的活动源自2016年,那里将会有更多,“Klijnsma告诉Threatpost。
