微软通过研究发现隐蔽的支付凭证窃取攻击，你的钱包还好吗？

根据外媒5月23日发表的研究文章称，Microsoft 365 Defender研究团队的安全人员通过使用多种混合技术发现到了免检测的网页掠夺（Web skimming）攻击。这些攻击大多被用来针对电商等平台来窃取用户支付凭证。

网页掠夺攻击

网页掠夺通常针对Magento、PrestaShop和WordPress等底层平台，这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。

攻击者通过在PHP中编码来混淆略读脚本（skimming script），然后将其嵌入到图像文件中，通过这种方式，代码在加载网站的索引页面时执行。安全人员还观察到注入恶意JavaScript的受感染Web应用程序伪装成Google Analytics和Meta Pixel脚本。一些浏览脚本还包括反调试机制。

在特定场景下，当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时，攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者，然后攻击者通过使用这些详细信息进行在线购买或将数据出售给他人，达到赚钱的目的。

掠夺攻击示意图

隐蔽的攻击手法

微软的分析师报告称，目前三种十分隐蔽的攻击手法的使用正有所增加，分别是：在图像中注入脚本、字符串连接混淆和脚本欺骗。

图像注入脚本：内含base64编码JavaScript的恶意PHP脚本，以图像文件的形式伪装成网站图标上传到目标服务器，能在识别出结账页面的情况下运行。

字符串连接混淆：获取托管在攻击者控制的域上的浏览脚本，以加载虚假的结帐表单，该域是base64编码并由多个字符串连接而成。

脚本欺骗：将浏览器伪装成Google Analytics或Meta Pixel，将base64编码的字符串注入到欺骗性的Google跟踪代码管理器代码中，诱使管理员跳过检查，认为这是网站标准代码的一部分。

如何防范网页掠夺

微软提醒，鉴于攻击者在攻击活动中采用越来越多的规避策略，企业组织应确保其电商平台、CMS和已安装的插件是最新版本，并且只下载和使用来自受信任来源的第三方插件和服务。此外，还必须定期彻底检查其网络资产是否存在任何受损或可疑内容，保障数据安全

对于用户而言，应当开启防病毒程序，在结账过程中，注意付款细节，对弹出的可疑窗口提高警惕，对来历不明的链接不点,确保信息安全。