研究人员发现新的Magecart集团
风险研究人员通过数字信用卡撇击和公开攻击的攻击,浏览团伙击败战绩,如铁路管理员,英国航空公司和纽吉基,警告基于网络的第三方供应链攻击正在增加。
Magecart,或者至少由研究人员被称为Magecart组12似乎正在扩大和改进损害的攻击,妥协了代码的第三方供应商意味着改善现场功能,使潜在的受害者更广泛地是风险,因为这段代码通常与数以千计的网站集成在数百万用户。
在过去的几个月里,风险问题研究人员一直在跟踪一个新的攻击活动,它使用类似于Magecart集团5负责在TicketMaster上攻击的Magecart集团5的使用。
然而,研究人员认为,对法国广告代理商的这种攻击不是第5组的工作,而是一个以前没有直接妥协的永无止文的小组。
“在这种情况下,该集团损害了用于广告的内容传递网络,以包括包含略可代码的单位器,以便来自广告代理商的广告标签的任何网站加载脚本都会无意中加载游客的Magecart Skimmer,”研究人员在博客中写道邮政。
这种内容递送注入扩大了该组的范围,研究人员表示,在运行广告标签的网站数量上,已经确认了数百名受害者网站的研究人员。
在2018年12月底,RiskiQ研究人员观察了一个关于adverline广告标签脚本的注射,它与第12组首次妥协中看到的脚本类似,只是使用javascriptobfuscator.com略微混淆。
研究人员还发现,组12的撇渣器代码通过执行完整性检查来保护自己免受Deobfuscation和分析。
虽然完整性检查进行了两次,但研究人员表示评估的代码每次都不同。它首次运行时,它会解码研究人员称为“FingerPrinter”阶段的阶段。这执行检查以确保会话属于合法的消费者,而不是执行实时分析的自动扫描仪或分析师。
指纹检查后,包含第二个自完整性检查的页面中包含新脚本。如果检查未能经过,则代码从页面中删除所有艺术品以清除其迹线,否则运行略有量码。
研究人员说,这段代码通过其他Magecart集团看到的浏览信息相同的过程。但是,他们注意到有一些独特的特征,如国际化的付款页面检查。
在激活其代码的实际略读部分之前,大多数撇渣器脚本在使用一组关键字执行页面URL。在大多数情况下,这些关键字是英语和非常通用的,但第12组通过添加法语和德语关键词增加了一些本地化。他们说,最可能的解释,是副词是欧洲的法国公司 - 专注的客户。
研究人员注意到,安全公司趋势科技趋势科技趋势微接触了副词,但在adverline广告标签脚本上发现注射后,截至1月16日,除了趋势科学的调查中,尚未从趋势科技的询问中回应,这意味着注射意味着注射仍然活着。
“根据我们通常的行动,当我们公开报告攻击时,我们试图让涉及的域名取消以阻止已记录的攻击。研究人员表示,通过Abusech和Shadowserver占据域的过程再次被占据了一次,并补充说,他们已经发表了一个单独的文件概述妥协指标(IOC)。