正在进行的攻击从100多个购物网站窃取信用卡

在监视恶意域时，www.magento-analytics[]通用域名格式，在过去七个月里，研究人员发现攻击者一直在向数百个在线购物网站注入托管在该域上的恶意JS脚本。

所讨论的JavaScript脚本包括数字信用卡浏览代码，当在网站上执行时，该代码会自动窃取客户输入的支付卡信息，如信用卡所有者姓名、信用卡号码、到期时间、CVV信息。

在一次电子邮件采访中，NetLab研究员告诉《黑客新闻》，他们没有足够的数据来确定黑客最初是如何感染受影响的网站的，或者他们利用了哪些漏洞，但他们确实确认，所有受影响的购物网站都在运行Magento电子商务CMS软件。

进一步分析显示，恶意脚本随后会将被盗的支付卡数据发送到magento analytics上托管的另一个文件[.]com服务器由攻击者控制。

研究人员在今天发布的一篇博客文章中解释说：“以一名受害者为例，www.kings2.com，当用户加载其主页时，JS也会运行。如果用户选择一个产品，并前往‘支付信息’提交信用卡信息，输入CVV数据后，信用卡信息就会上传”。

这场运动背后的组织所使用的技术并不新鲜，与臭名昭著的MageCart信用卡黑客组织在最近的数百起攻击中使用的技术完全相同，包括Ticketmaster、英国航空公司和Newegg。

然而，NetLab的研究人员并没有明确将这次攻击与任何MageCart组织联系起来。

另外，不要与域名混淆，www.magento-analytics[.]通用域名格式。

在域名中包含Magento并不意味着恶意域名与流行的Magento电子商务CMS平台存在关联；相反，攻击者使用该关键字来伪装他们的活动，并迷惑普通用户。
根据研究人员的说法，在该活动中使用的恶意域名在巴拿马注册，然而，最近几个月，IP地址从“美国，亚利桑那州”移动到“俄罗斯，莫斯科”，然后转到“中国，香港”。

虽然研究人员发现，恶意域名窃取信用卡信息已经至少五个月了，总共有105个网站已经感染了恶意JS，但他们相信这个数字可能高于他们雷达上显示的数字。

就在昨天，一名用户在论坛上发布消息称，他的Magento网站最近也遭到黑客攻击，攻击者从同一个域秘密注入了一个窃取信用卡的脚本，这显然是一个尚未在360 NetLab网站上列出的单独变体。

由于攻击者通常利用在线电子商务软件中的已知漏洞注入恶意脚本，因此强烈建议网站管理员遵循最佳安全实践，例如应用最新更新和补丁、限制关键系统的权限和强化web服务器。

网站管理员还被建议利用内容安全策略（CSP），该策略有效地允许严格控制允许在网站上加载的资源。

同时，建议网购者定期查看信用卡和银行对账单，查看是否有任何不熟悉的活动。无论你注意到多么小的未经授权的交易，你都应该立即向你的银行报告。