自2019年以来,趋势科技的研究人员一直在追踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。
但是,自2020年初以来,研究人员注意到Water Pamola的活动发生了一些变化。现在,受害者主要只在日本境内。最近的跟踪数据表明,攻击不再通过垃圾邮件发起。相反,当管理员在其在线商店的管理面板中查看客户订单时,就会执行恶意脚本。
在进一步搜索后,研究人员注意到一家在线商店管理员询问了一个奇怪的在线订单,该订单包含通常会在客户地址或公司名称所在的字段中插入的JavaScript代码。该脚本很可能是通过利用该商店的管理门户中的跨网站脚本(XSS)漏洞来激活的。
在论坛上提出的问题,其中显示了与Pamola水有关的有效载荷
上面是论坛中文本的屏幕截图,由Google翻译为“问题”,其中的某个命令似乎是一个恶作剧的命令,地址和公司名称中包含以下字符。
该脚本连接到Water Pamola的服务器,并下载其他有效载荷。综上所述,这使研究人员相信Water Pamola会使用此嵌入式XSS脚本在许多目标在线商店下订单。如果它们容易受到XSS攻击,它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。
研究人员收集了许多攻击脚本,它们已传播给不同的目标。脚本执行的恶意行为包括页面获取、凭据网络钓鱼、Web Shell感染和恶意软件传播。
此活动似乎是出于经济动机,在至少一个实例中,Water Pamola后来遭到攻击的网站透漏他们遭受了数据泄漏。他们的服务器被非法访问,包括姓名、信用卡号、到期日期和信用卡安全码在内的个人信息可能被泄漏。此攻击行为可能与Water Pamola有关,它暗示此攻击活动的最终目标是窃取信用卡数据(类似于Magecart攻击活动)。
XSS攻击分析
如上所述,Water Pamola发送了带有恶意XSS脚本的在线购物订单,以攻击电子商务网站的管理员。
值得一提的是,它们并不是针对特定的电子商务框架,而是针对整个电子商务系统。如果商店的电子商务系统容易受到XSS攻击,那么一旦有人(如系统管理员或商店员工)打开订单,就会在商家的管理面板上加载并执行恶意脚本。
这些脚本使用名为“XSS.ME”的XSS攻击框架进行管理,该框架可帮助攻击者处理其攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛中被共享。该框架提供的基本攻击脚本可以报告受害者的位置和浏览器Cookie。研究人员观察到攻击期间使用的脚本是自定义的。攻击者提供了多种不同的XSS脚本,其中可能包括以下一种或多种行为:
网页获取工具
该脚本将HTTP GET请求发送到指定的URL地址,并将收到的响应转发到Water Pamola的服务器。通常在攻击的早期阶段使用它来从受害者的管理页面中获取内容,这样做可以使攻击者了解环境并设计适合受害者环境的攻击脚本。
用于获取页面内容并将其发送回攻击者的脚本
凭据网络钓鱼
一些传播的脚本显示,该活动试图通过两种不同的方法为电子商务网站获得管理员资格。第一种方法涉及到向页面添加一个假的登录表单。脚本挂钩鼠标点击事件。如果受害者以伪造的形式输入凭据并点击页面上的任何位置,脚本将获取凭据,使用base64对其进行编码,用自定义子字符串替换一些字符,然后将这些字符上传到Water Pamola的服务器。
用于创建和删除伪造的登录表单以进行凭据网络钓鱼的脚本
另一种方法包括显示授权错误消息,然后将用户重定向到一个钓鱼网站,该网站要求用户输入他们的凭据。他们的钓鱼网站的子域名被配置为与目标的域名匹配,例如“{victim’s domain}[.]basic-authentication[.]live”。
Webshell/PHP后门注入
某些提供的恶意脚本试图将后门安装到使用EC-CUBE框架构建的网站上,该框架在日本很流行。研究人员发现的攻击仅适用于EC-CUBE的Series 2。当前版本是Series 4,Series 2现在也得到了扩展支持。
有三种不同的方法用于上传后门,第一种方法是通过调用框架提供的本机API来上传PHP Web Shell文件。 Web Shell文件的名称硬编码为" ec_ver.php ", " log3.php “或” temp.php "。 Web Shell可以执行HTTP POST请求发送给Web Shell的任何PHP代码。
请注意图6中的屏幕截图:这篇博客文章http://achineseboy.com/archives/49中提到了具有相同“only_pcd”关键字的相同web shell。该博客文章描述了一个由两个组件组成的web shell,一个PHP脚本和一个HTML上传文件,但是,不需要第二个组件,因为可以使用任何自定义或第三方工具(例如Fiddler)创建正确的POST请求。
用于将PHP Web Shell上传到电子商务网站的脚本
第二种方法是修改页面标头以注入PHP代码,然后该代码将执行HTTP请求中参数“ec_ver2update”发送的任何PHP代码。请注意,下面的PHP代码是模糊的。首先,$ IDFX变量使用XOR操作(请参见字符^)对字符串“create_function”进行解码,然后将所得的base64字符串解码为@eval($ _ REQUEST [‘ec_ver2update’]),这是后门的代码。
用于修改商店页面标题以注入Web Shell的脚本
第三种方法是将嵌入在名为“MakePlugin.tar.gz”的文件中的恶意插件安装到电子商务框架。该插件旨在将多个PHP Web Shell文件拖放到服务器上。
用于上传和安装恶意插件的脚本“MakePlugin.tar.gz”
恶意插件安装几个带有web shell的文件
恶意软件传播
在这种情况下,攻击脚本将显示一个警告提示,并显示一条消息:“你的Flash版本太低,请安装最新版本,然后重试!”然后将受害者重定向到他们控制的虚假Flash安装程序下载网站。请注意,Adobe已于2020年12月31日宣布Flash结束使用。
如果受害者下载并执行从此页面下载的安装程序,则受害者将感染Gh0stRat恶意软件的一种变体,以前也称为Gh0stCringe或CineregRAT。该RAT的代码基于泄漏的Gh0st RAT源代码;但是,它的流量加密是自定义的,并且增加了一些新功能,例如QQ号码盗窃。与这次行动有关的Gh0st RAT样本是经过模糊处理的可执行文件,它可以解密内存中的主要有效载荷并执行其名为“Shellex”的主要输出功能。
该脚本显示错误消息并重定向到伪造的Flash安装程序
扫一扫
139
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
