Magecart黑客现在将基于PHP的后门隐藏在网站Favicons中

网络犯罪组织正在分发伪装成favicon的恶意PHP网络外壳，以保持对受损服务器的远程访问，并向在线购物平台注入JavaScript浏览器，目的是从用户那里窃取财务信息。

Malwarebytes Jérôme Segura在周四的一篇文章中说：“这些被称为Smilodon或Megalodon的web shell用于通过服务器端请求将JavaScript略读代码动态加载到在线商店中。”。“这项技术很有趣，因为大多数客户端安全工具都无法检测或阻止略读器。”

在电子商务网站上注入网络浏览者窃取信用卡详细信息是Magecart的一种久经考验的作案手法。Magecart是一个针对在线购物车系统的不同黑客组织的联盟。也被称为formjacking攻击，这些略读器采用JavaScript代码的形式，运营商将其偷偷插入电子商务网站（通常在支付页面上），目的是实时捕获客户的卡详细信息，并将其传输到远程服务器。

虽然当客户访问相关在线商店时，注入略读器通常通过向托管在攻击者控制的域上的外部JavaScript资源发出客户端请求来工作，但最新的攻击略有不同，因为略读器代码是在服务器端动态引入商户网站的。

基于PHP的WebShell恶意软件冒充favicon（“Magento.png”），通过篡改HTML代码中的快捷图标标签指向伪png图像文件，将恶意软件插入受损网站。反过来，这个web外壳被配置为从外部主机检索下一阶段的有效负载，这是一个信用卡浏览器，与去年9月CardBeed攻击中使用的另一个变体有相似之处，这表明威胁参与者在公开披露后修改了他们的工具集。

Malwarebytes将最新的活动归因于Magecart Group 12，基于所采用的战术、技术和程序的重叠，并添加了“我们发现的最新域名（zolo[。]pw）恰好托管在同一IP地址上（217.12.204[.]185）如[.]中的recaptchapw和google statik[.]pw，以前与Magecart组12关联的域。"

Magecart的主要目的是捕获和过滤支付数据，在过去几个月里，Magecart参与者采用了多种攻击载体，以保持在雷达之下，避免被发现，并掠夺数据。从在图像元数据中隐藏偷卡者代码，实施IDN同音词攻击，在网站的favicon文件中植入网络略读器，到使用谷歌分析和电报作为过滤渠道，网络犯罪集团加大了对在线商店的破坏力度。

在去年年初开始的一场名为“BTC转换器”的新运动中，由隶属于朝鲜的国家资助黑客组成的Lazarus Group利用恶意JavaScript嗅探器攻击接受加密货币支付的网站，窃取比特币和以太币。这种做法变得如此普遍和有利可图。