微软警告隐蔽的支付凭证正在被窃取攻击

据分析Microsoft 365 Defender研究团队在5月23日发表的研究文章透露，安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺（Web skimming）攻击。这些攻击大多是被用来针对电商等平台以窃取用户支付凭证的。

然而这些平台因其易用性和第三方插件的可移植性而成为各类在线电商网站的热门选择，这些平台和插件带有漏洞正被攻击者利用，例如网页掠夺通常针对像Magento、PrestaShop和WordPress等底层平台。

在攻击者通过在PHP中编码来混淆略读脚本（skimming script），然后将其嵌入到图像文件当中，通过这些方式，代码在加载网站的索引页面时执行。安全人员还观察到注入恶意JavaScript的受感染Web应用程序伪装成Google Analytics和Meta Pixel脚本。一些浏览脚本还包括反调试机制。

在特定的某个场景下，当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时，攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者，然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。

微软提醒，鉴于攻击者在攻击活动中采用越来越多的规避策略，企业组织应确保其电商平台、CMS和已安装的插件是最新版本，并且只下载和使用来自受信任来源的第三方插件和服务。此外，还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。

图像注入脚本：内含base64编码JavaScript的恶意PHP脚本，以图像文件的形式伪装成网站图标上传到目标服务器，能在识别出结账页面的情况下运行。

字符串连接混淆：获取托管在攻击者控制的域上的浏览脚本，以加载虚假的结帐表单，该域是base64编码并由多个字符串连接而成。

脚本欺骗：将浏览器伪装成Google Analytics或Meta Pixel，将base64编码的字符串注入到欺骗性的Google跟踪代码管理器代码中，诱使管理员跳过检查，认为这是网站标准代码的一部分。

对于用户而言，应当开启防病毒程序，在结账过程中，注意付款细节，对弹出的可疑窗口提高警惕。

微软的分析师报告称，目前三种十分隐蔽的攻击手法的使用正有所增加，分别是：在图像中注入脚本、字符串连接混淆和脚本欺骗。

对于这类恶意攻击的脚本，我们应该多点心眼对这些东西要防患于未然。