Water Pamola通过恶意订单攻击电商店铺

Water Pamola通过恶意订单攻击电商店铺

自2019年以来，我们一直在追踪被称为“水帕莫拉”的威胁活动。该活动最初通过带有恶意附件的垃圾邮件破坏了日本、澳大利亚和欧洲国家的电子商务在线商店。

然而，自2020年初以来，我们注意到Water Pamola的活动发生了一些变化。受害者现在主要集中在日本。最近的遥测数据表明，攻击不再是通过垃圾邮件发起的。相反，当管理员在其在线商店的管理面板中查看客户订单时，会执行恶意脚本。

（水帕莫拉攻击链）

经过进一步搜索，我们注意到一个网店管理员询问了一个陌生的在线命令它包含插入到客户地址或公司名称通常所在的字段中的JavaScript代码。该脚本可能是通过利用跨站点脚本(XSS)上述商店的管理门户中的漏洞。

（论坛截图）

上面是论坛中文本的屏幕截图，由Google翻译为“问题”，其中的某个命令似乎是一个恶作剧的命令，地址和公司名称中包含以下字符。

该脚本连接到Water Pamola的服务器，并下载其他有效载荷。综上所述，这使研究人员相信Water Pamola会使用此嵌入式XSS脚本在许多目标在线商店下订单。如果它们容易受到XSS攻击，它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。

研究人员收集了许多攻击脚本，它们已传播给不同的目标。脚本执行的恶意行为包括页面获取、凭据网络钓鱼、Web Shell感染和恶意软件传播。

此活动似乎是出于经济动机，在至少一个实例中，Water Pamola后来遭到攻击的网站透漏他们遭受了数据泄漏。他们的服务器被非法访问，包括姓名、信用卡号、到期日期和信用卡安全码在内的个人信息可能被泄漏。此攻击行为可能与Water Pamola有关，它暗示此攻击活动的最终目标是窃取信用卡数据（类似于Magecart攻击活动）。

XSS袭击事件分析

上述内容，Water Pamola发送附加了恶意XSS脚本的在线购物订单来攻击电子商务管理员。不过，他们不是针对特定的电子商务框架，而是针对一般的电子商务系统。如果商店的电子商务系统容易受到XSS攻击，一旦有人（如系统管理员或商店员工）打开该订单，恶意脚本将被加载并在商家的管理面板上执行。

这些脚本由名为“XSS.ME”的XSS攻击框架管理，该框架可帮助攻击者处理他们的攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛上共享。框架提供的基本攻击脚本可以报告受害者的位置和浏览器cookie。我们观察到攻击期间使用的脚本是定制的。攻击者交付了各种不同的XSS脚本，其中可能包括以下一种或多种行为：

1、页面抓取器

该脚本向指定的URL地址发送HTTP GET请求，并将收到的响应转发到Water Pamola的服务器。这通常在攻击的早期阶段用于从受害者的管理页面中获取内容。这样做可以让威胁参与者了解环境并设计适合受害者环境的攻击脚本。

2、凭据网络钓鱼

一些传播的脚本显示，该活动试图通过两种不同的方法为电子商务网站获得管理员资格。第一种方法涉及到向页面添加一个假的登录表单。脚本挂钩鼠标点击事件。如果受害者以伪造的形式输入凭据并点击页面上的任何位置，脚本将获取凭据，使用base64对其进行编码，用自定义子字符串替换一些字符，然后将这些字符上传到Water Pamola的服务器。

3、Webshell/PHP后门注入

某些提供的恶意脚本试图将后门安装到使用EC-CUBE框架构建的网站上，该框架在日本很流行。研究人员发现的攻击仅适用于EC-CUBE的Series 2。当前版本是Series 4，Series 2现在也得到了扩展支持。

有三种不同的方法用于上传后门，第一种方法是通过调用框架提供的本机API来上传PHP Web Shell文件。Web Shell文件的名称硬编码为”ec_ver.php”，”log3.php”或”temp.php”。Web Shell可以执行HTTP POST请求发送给Web Shell的任何PHP代码。

如何保护电子商务平台免受Water Pamola的攻击

Water Pamola通过将XSS脚本附加到在线购物订单上来攻击在线商家。他们还进行了社会工程学攻击来伪造网络钓鱼凭证或提示下载远程访问工具，在线商店的管理员应该意识到，潜在的攻击不仅可能来自垃圾邮件，还可能来自不同的感染媒介。研究人员还建议管理员使网站上使用的任何电子商务平台的版本保持最新，以防止任何潜在的漏洞，包括XSS攻击。

通过检测恶意文件和垃圾邮件以及阻止所有相关的恶意URL，这些可以保护用户和企业免受攻击。