假CDN模糊信用卡欺诈者

网络犯罪分子正在试图窃取在线购物者的个人详细信息，而不被伪装​​信用卡撇证网络（CDNS）伪装信用卡撇渣器，以虚假的内容交付网络（CDNS）在MalwareBytes研究员JérômeSegura揭露和描述的新技术中，他在网站上鉴定了可疑代码一个受欢迎的法国精品店。

“有时，看起来像CDN [Content Delivery Network]可能会成为任何东西，但是，”Segura说。“使用LoadAlike域名是恶意软件作者中的任何新内容。一个趋势我们特别看到了与Web Skimmers的公平位，特别是模仿Google Analytics的域名。实际上所有网站都为他们的排名和统计数据使用此服务，因此它为非常可信的模仿。

“我们抓住的最新案例使用了两个不同的域名假装成为CDN，”他说。“虽然通常，第二件基础架构用于数据exfiltration，但它只充当隐藏实际的exfiltration服务器的中间人。

“奇怪的是，骗子决定使用通过免费的NGROK服务暴露在互联网上的本地Web服务器来收集被盗数据。这种技巧和技术的组合向我们展示了欺诈者可以设计非常定制的计划，以试图逃避检测，“Segura说。

受损的电子商务站点包含对肉眼的代码似乎仅仅是由第三方CDN加载的jQuery库。两者似乎都是合法的，但在仔细检查时，它揭示了一些不一致的问题：特别是一个寻找信用卡号码的领域，这应该不适用于这种插件，这表明它实际上可能是撇渣器。

Segura检查了该网站的存档副本，并将其与实时版本的代码进行了比较，发现脚本几周后，脚本尚未存在，这意味着它最近由网站所有者添加或被攻击者注入。

该脚本通过检查用户浏览器地址栏中的当前URL，如果它与商店的结帐页面匹配，则它将开始收集表单数据，例如名称，地址，电子邮件，电话号码和信用卡信息。

一旦收集，Skimmer将数据删除到另一个位置，尽管Segura实际上发现这是一个中介 - 一个简单的重定向显示了实际目的地，是自定义Ngrok服务器。NGROK是一个免费服务，将本地服务器暴露给公共互联网 - 合法用途包括测试网站和移动应用程序，而无需部署它们，或从家中运行个人云服务。

Malwarebytes表示，这显然是由网络犯罪分子负责掩盖他们的活动并扩大他们在被剥削和停止之前的小窗口的人们所拥有的小窗口。

“我们早早抓住了这一运动，当时只有少数场地注射撇渣器，”Segura说。“我们向受影响的派对报告了它，同时还要确保Mallwarebytes用户受到保护。

“虽然这些违规者伤害了在线商家的声誉，但客户也遭受了黑客的后果。他们不仅要经历新信用卡的麻烦，他们的身份也被盗，打开了未来的网络钓鱼攻击和冒充尝试的大门，“他说。