網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn)了一種竊取信用卡信息的惡意軟件活動(dòng)，該活動(dòng)主要針對(duì)運(yùn)行Magento的電商網(wǎng)站。為了逃避檢測(cè)，攻擊者將惡意內(nèi)容隱藏在HTML代碼的圖片標(biāo)簽中。

MageCart惡意軟件的新伎倆

MageCart是一種專門(mén)從在線購(gòu)物網(wǎng)站竊取敏感支付信息的惡意軟件。此類攻擊通常會(huì)利用客戶端或服務(wù)器端的技術(shù)手段，通過(guò)植入信用卡信息竊取程序來(lái)實(shí)施盜竊。通常情況下，這種惡意軟件會(huì)在用戶訪問(wèn)結(jié)賬頁(yè)面輸入信用卡信息時(shí)被觸發(fā)或加載，要么通過(guò)展示虛假表單，要么實(shí)時(shí)捕獲受害者輸入的信息。

“MageCart”這一名稱來(lái)源于這些網(wǎng)絡(luò)犯罪組織的原始目標(biāo)——為在線零售商提供結(jié)賬和購(gòu)物車功能的Magento平臺(tái)。多年來(lái)，此類攻擊活動(dòng)通過(guò)編碼和混淆技術(shù)，將惡意代碼隱藏在看似無(wú)害的資源中，如假圖片、音頻文件、網(wǎng)站圖標(biāo)，甚至是404錯(cuò)誤頁(yè)面。

Sucuri研究員Kayleigh Martin表示：“在這種情況下，影響客戶端的惡意軟件的目標(biāo)同樣是保持隱蔽。它通過(guò)將惡意內(nèi)容隱藏在HTML的<img>標(biāo)簽中來(lái)達(dá)到這一目的，使其容易被忽略。”

利用Onerror事件執(zhí)行惡意代碼

與普通的<img>標(biāo)簽不同，此次攻擊中的<img>標(biāo)簽充當(dāng)了誘餌，其中包含指向JavaScript代碼的Base64編碼內(nèi)容。當(dāng)檢測(cè)到onerror事件時(shí)，該代碼就會(huì)被激活。這種攻擊方式更加隱蔽，因?yàn)闉g覽器默認(rèn)信任onerror函數(shù)。

Martin解釋說(shuō)：“如果圖片加載失敗，onerror函數(shù)會(huì)觸發(fā)瀏覽器顯示一個(gè)破損的圖片圖標(biāo)。然而，在此次攻擊中，onerror事件被劫持以執(zhí)行JavaScript代碼，而不僅僅是處理錯(cuò)誤。”

此外，攻擊者還利用了<img>HTML元素的“無(wú)害性”來(lái)增加攻擊的成功率。惡意軟件會(huì)檢查用戶是否處于結(jié)賬頁(yè)面，并等待毫無(wú)戒備的用戶點(diǎn)擊提交按鈕，從而將他們輸入的敏感支付信息竊取到外部服務(wù)器。

惡意腳本的設(shè)計(jì)目的是動(dòng)態(tài)插入一個(gè)包含三個(gè)字段（卡號(hào)、有效期和CVV）的惡意表單，并將竊取的信息發(fā)送到wellfacing[.]com。

Martin補(bǔ)充道：“攻擊者通過(guò)這個(gè)惡意腳本實(shí)現(xiàn)了兩個(gè)令人印象深刻的目標(biāo)：一是將惡意腳本編碼到<img>標(biāo)簽中以規(guī)避安全掃描器的檢測(cè)，二是確保最終用戶在惡意表單被插入時(shí)不會(huì)注意到異常變化，從而盡可能長(zhǎng)時(shí)間地保持隱蔽。”

針對(duì)電商平臺(tái)的持久性攻擊

針對(duì)Magento、WooCommerce、PrestaShop等平臺(tái)的攻擊者，其目標(biāo)是盡可能長(zhǎng)時(shí)間地不被發(fā)現(xiàn)。他們注入網(wǎng)站的惡意軟件通常比影響其他網(wǎng)站的常見(jiàn)惡意軟件更為復(fù)雜。

與此同時(shí)，網(wǎng)絡(luò)安全公司還詳細(xì)披露了一起涉及WordPress網(wǎng)站的事件。攻擊者利用mu-plugins（或必用插件）目錄植入后門(mén)，并以隱蔽方式執(zhí)行惡意PHP代碼。

Puja Srivastava指出：“與常規(guī)插件不同，必用插件在每次頁(yè)面加載時(shí)都會(huì)自動(dòng)加載，無(wú)需激活或出現(xiàn)在標(biāo)準(zhǔn)的插件列表中。攻擊者利用此目錄來(lái)保持持久性并規(guī)避檢測(cè)，因?yàn)榉胖迷诖颂幍奈募?huì)自動(dòng)執(zhí)行，并且無(wú)法通過(guò)WordPress管理面板輕易禁用。”