黑客通过损害其广告合作伙伴来感染电子商务网站

RiskIQ和Trend Micro的安全研究人员称，Magecart的一个新分支，即“Magecart Group 12”的网络犯罪分子最近通过供应链攻击成功入侵了近277个电子商务网站。

Magecart是去年因攻击Ticketmaster、英国航空公司和纽蛋等大企业而成为头条新闻的同一批数字信用卡浏览者。

通常情况下，Magecart黑客会破坏电子商务网站，并将恶意JavaScript代码插入其结账页面，该页面会悄悄捕获在网站上购物的客户的付款信息，然后将其发送到攻击者的远程服务器。

然而，这两家公司的研究人员今天透露，Magecart Group 12没有直接危害目标网站，而是入侵并将其略读代码插入第三方JavaScript库，使所有使用该脚本的网站都能加载恶意代码。

Magecart Group 12针对的第三方图书馆由一家名为Adverline的法国在线广告公司提供，数百家欧洲电子商务网站正在使用该公司的服务来显示广告。

Trend Micro表示：“在我们进行研究时，嵌入Adverline重新定位脚本的网站加载了Magecart Group 12的浏览代码，该代码反过来会浏览网页上输入的支付信息，然后将其发送到远程服务器。”。

另外RiskIQ的安全研究人员Yonathan Klijnsma发现，MageCart Group 12的略读代码通过对自身执行两次完整性检查来保护自己不被混淆和分析。

研究人员说：“Magecart Group 12使用了一个略读工具包，该工具包使用了两个模糊的脚本。第一个脚本主要用于反反转，而第二个脚本是主要的数据略读代码。”。

感染后，数据浏览代码首先检查它是否在适当的购物车网页上执行。它通过检测URL中的相关字符串来实现这一点，比如“checkout”、“billing”、“purchase”、“panier”（法语中是“basket”的意思），以及“kasse”（德语中是“checkout”的意思）。

一旦在URL中检测到任何这些字符串，脚本将通过复制表单名称和用户在网页的键入表单上键入的值来开始执行略读行为。

被盗的支付和账单数据随后以Base64格式存储在JavaScript LocalStorage中，密钥名为“Cache”。为了指定单个受害者，该代码还生成一个随机数，并将其保留到带有密钥名E-tag的LocalStorage中。

趋势科技研究人员解释说：“每当用户关闭或刷新支付网页时，就会触发一个JavaScript事件‘卸载’。然后，该脚本通过HTTP POST将略过的支付数据、随机数（电子标签）和电子商务网站的域发送到远程服务器，并对整个发送日期进行Base64编码。”。

研究人员还公布了与第12组的操作相关的IOC，其中包括那些被浏览者用来将代码注入受影响网站并接收被盗支付信息的域。

联系后，Adverline立即修补了该问题，并从其JavaScript库中删除了恶意代码。