新型Magecart信用卡读取器能够在多个电子商务平台上窃取付款信息

Sansec的研究人员发现了一种新型的多平台信用卡读取器（窃取程序），它从主要电子商务平台上的各种商店窃取支付信息，如ZenCart、WooCommerce、Shopify和BigCommerce。

 

被识别为Magecart变种的电子商务恶意软件通过注入伪造的支付表格来收集客户的信用卡详细信息，从而劫持了结账过程。新的变体也会损害不支持自定义JavaScript结账表单的电子商务平台。

 

Magecart是几个网络犯罪团伙的统称，通常使用JavaScript注入，使用各种工具、技术和程序从各种电子商务站点上的客户那里窃取付款信息和个人数据。但是，Sansec的研究人员并未将这次行动与某个特定的网络犯罪团伙联系起来。

 

信用卡读取器可在不允许自定义JavaScript结帐页面的电子商务平台活动

 

最近发现的Magecart信用卡读取器版本适用于多个电子商务平台，不像以前的版本每次只针对一个电子商务平台。

 

令人惊讶的是，读取器甚至可以在不允许自定义JavaScript代码的电子商务平台上工作，如Shopify和BigCommerce。

 

它的工作原理是注入一个假的支付表单，并在客户导航到真正的支付表单之前记录下他们的按键信息。

 

刷卡机采用了几种巧妙的侦查躲避策略

 

当客户输入他们的信用卡信息并点击proceed（“继续”）按钮时，虚假的支付表单就会抛出一个错误，并将买家重新导向真实的支付页面以逃避检测。

 

安全研究人员还发现，信用卡读取器窃取了支付信息，并以编程方式生成base64编码计数器创建的exfilter（窃取）域。

 

exfilter域的示例包括zg9tywlubmftzw5ldze [.com]和zg9tywlubmftzw5ldza [.com]，后者于2020年8月31日注册。

 

信用卡skimmer有时伪装成PayPal结帐页面，要求各种详细信息，如账单地址，邮政编码，持卡人姓名，信用卡号码，到期日期，和CVV/CVC。

 

Sansec的研究人员没有解释信用卡刷卡人是否会根据所选的支付方式生成虚假的支付表格，或者欺骗的PayPal表格是否会在每次结账时都加载。不管怎样，大多数客户几乎察觉不到任何可疑的行为，因为黑客们已经尽力掩盖了他们的踪迹。

 

研究人员还发现了类似的针对网上商店的Magecart攻击。例如，Sansec的研究人员发现，攻击者利用伪装成SVG社交媒体按钮的CSS隐藏了另一个信用卡数据收集器。由于恶意软件有效载荷和JavaScript解码器可以加载在不同的位置，这使得它不可能检测到基于代码分析的读卡器。

 

黑客可能破坏了多个电子商务平台使用的共享组件

 

新型Magecart信用卡读取器变种背后的威胁参与者是如何设法破坏多个电子商务平台？这仍然是一个谜。安全研究人员建议，攻击者可能破坏了多个电子商务平台使用的共享组件、软件或服务。

 

Sansec研究人员说：“总而言之，这表明，平台与在线掠夺的欺诈无关。无论客户在哪里输入他们的付款详细信息，他们都面临着风险。”

 

Gurucul首席执行官Saryu Nayyar在评论这个多平台支付款刷卡机时表示，Sansec的发现是“攻击者变得老练的又一个迹象，同时他们的攻击工具也变得更加灵活和有效。”（本文出自SCA安全通信联盟，转载请注明出处。）