对JS嗅探器的深入分析揭示了信用卡撇取代码的新家族

最近经常出现在新闻中的Magecart是一个总括术语，指12个不同的网络犯罪集团，他们专门在受损的电子商务网站上秘密植入一段特殊代码，意图窃取客户的支付卡详细信息。

恶意代码，众所周知的JS嗅探器、JavaScript嗅探器或在线信用卡浏览器，其目的是拦截用户在受损网站上的输入，实时窃取客户的银行卡号、姓名、地址、登录详细信息和密码。
去年，网络犯罪分子进行了几起涉及英国航空公司、Ticketmaster和Newegg等大公司的高调抢劫，网络床上用品零售商MyPillow和Amerisleep最近成为这些袭击的受害者，Magecart成为了头条新闻。

这些袭击的初步成功已经表明，我们可能会在未来几天看到更多的袭击。

安全公司Group IB今天发布了一份报告，并在发布前与《黑客新闻》分享了该报告，详细介绍了其研究人员在分析2440个受感染的电子商务网站后记录的近38个不同的JS嗅探器家族。

所有这些JS嗅探器系列都分为两部分。第一个是可以集成到任何网站的通用代码，例如，G-Analytics和JS嗅探器的WebRank系列。
然而，第二类JS嗅探器，其中包括PreMage、MagentoName、FakeCDN、Qoogle、GetBilling和事后家庭，主要设计用于特定的内容管理系统，如Magento、WooCommerce、WordPress、Shopify和OpenCart。

研究人员说：“这些家族中至少有8个（如GMO、TokenLogin和TokenMSN）是首次被描述的，以前从未被调查过”。“每个家庭都有独特的特点，而且他们很可能由不同的人管理：所有JS嗅探器都执行类似的功能，一个网络罪犯创建两个JS嗅探器是不合适的”。

该报告还强调，在地下论坛中，出租JS嗅探器作为一项服务的趋势正在不断增长，这些网络罪犯没有独立完成这项工作的技术专长，这使得它成为勒索软件和加密货币挖掘恶意软件的一个很好的替代赚钱方案。
IB集团表示：“粗略估计，JS sniffer开发者每月的利润可能高达数十万美元”。

IB集团的报告还显示，超过一半的受影响网站受到了攻击品红名JS嗅探家族。此卡片浏览器背后的攻击者利用运行过时Magento CMS的网站中的已知漏洞注入恶意代码。

研究人员说：“超过13%的感染是由WebRank JS sniffers家族实施的，该家族攻击第三方网站，将其恶意代码注入目标网站”。

CoffeMokko家族的JS嗅探器进行了近11%的感染，从支付系统窃取信息，包括PayPal、Verisign、Way、Sage Pay、WorldPay、Stripe、USAePay和其他。

通过访问此链接，您可以访问完整的Group IB报告。

今年早些时候，Magecart攻击者还通过将其略读代码插入Adverline中流行的第三方JavaScript库，在一次供应链攻击中成功入侵了277个电子商务网站。

这起广泛传播的网络攻击最终针对的是在数百家欧洲电子商务网站上进行在线支付的所有客户，这些网站提供的是经过修改的Adverline脚本。

由于攻击者通常利用在线电子商务CMS中的已知安全问题进行攻击，因此强烈建议网站管理员遵循标准的最佳做法，例如应用最新更新和安全补丁、限制关键系统资源的权限，以及强化其web服务器。

此外，建议网购者定期查看他们的支付卡详细信息和银行对账单，以了解任何不熟悉的活动。无论你注意到多么小的未经授权的交易，你都应该立即向你的金融机构报告。