Magecart黑客将被盗的信用卡数据隐藏到图像中，以进行逃避过滤

Magecart集团的网络犯罪参与者掌握了一种新技术，可以混淆评论块中的恶意软件代码，并将被盗的信用卡数据编码为服务器上托管的图像和其他文件，再次证明攻击者如何不断改进其感染链以逃避检测。

Sucuri安全分析师本·马丁（Ben Martin）在一篇评论文章中说：“一些Magecart演员采用的一种策略是将刷卡的信用卡详细信息转储到服务器上的图像文件中，以避免引起怀疑。”。“以后可以使用简单的GET请求下载这些文件。”

Magecart是一个总称，指多个针对电子商务网站的网络犯罪团伙，其目标是通过注入恶意JavaScript撇取器并在黑市上出售，从而掠夺信用卡号码。

Sucuri根据威胁行为人所采用的战术、技术和程序（TTP）的重叠，将此次攻击归因于Magecart Group 7。

在GoDaddy旗下的安全公司调查的一个Magento电子商务网站感染案例中，发现该略读器以Base64编码的压缩字符串的形式插入了结帐过程中涉及的一个PHP文件中。

更重要的是，为了进一步掩盖PHP文件中存在的恶意代码，据说对手使用了一种称为串联的技术，其中代码与附加的注释块相结合，“在功能上没有任何作用，但它增加了一层模糊，使其更难检测”

最终，这些攻击的目标是在受损网站上实时捕获客户的支付卡详细信息，然后将其保存到服务器上的虚假样式表文件（.CSS）中，然后通过发出GET请求在威胁参与者端下载。

“Magecart对电子商务网站的威胁越来越大，”马丁说。“从攻击者的角度来看：回报太大，后果不存在，他们为什么不呢？通过在黑市上盗取和出售被盗的信用卡，可以获得实实在在的财富。”