Magecart新趨勢(shì)：偽裝為供應(yīng)商服務(wù)代碼片段，竊取敏感數(shù)據(jù)

Akamai安全研究團(tuán)隊(duì)近期發(fā)現(xiàn)，一種新型復(fù)雜的Magecart網(wǎng)絡(luò)攻擊行為，正肆虐于多個(gè)電商網(wǎng)站。Magecart的斂財(cái)手段，表現(xiàn)為將惡意JavaScript代碼注入支付頁面，持續(xù)捕獲消費(fèi)者信用卡號(hào)和個(gè)人詳細(xì)信息，并將其發(fā)送到攻擊者的服務(wù)器。

在今天，威脅升級(jí)的Magecart攻擊形式，會(huì)使用冒充合法的第三方供應(yīng)商（如谷歌標(biāo)簽管理器）以及通過Base64編碼隱藏惡意代碼等技術(shù)。近期安全事件中，加拿大頭部酒類零售商正在遭受此類攻擊。

反偵察、偽造能力升級(jí)

在攻擊路徑上，這種新型Magecart模式，可劃分為偽造隱藏代碼、確認(rèn)攻擊目標(biāo)、混淆代碼邏輯、騙取敏感數(shù)據(jù)等環(huán)節(jié)，隱蔽性超過以往攻擊手段。

新型Magecart攻擊路徑

·模擬供應(yīng)商代碼

Magecart的內(nèi)聯(lián)腳本，會(huì)讓攻擊者通過將惡意代碼隱藏在已知供應(yīng)商背后，偽裝成合法腳本。此外，使用Base64編碼的skimmer腳本，更易于混淆任何可能揭示惡意代碼的信息，提高隱蔽性。

·使用WebSockets和eval函數(shù)

這兩種函數(shù)允許惡意代碼作為第一方腳本，執(zhí)行于頁面上下文和可能在目標(biāo)網(wǎng)站上運(yùn)行的掃描儀中，比傳統(tǒng)的XHR請(qǐng)求或HTML標(biāo)記不易被發(fā)現(xiàn)，研究人員、安全服務(wù)很難檢測(cè)到。

·執(zhí)行代碼檢查

攻擊者的C2 服務(wù)器會(huì)向攻擊頁面發(fā)送兩項(xiàng)檢查代碼：一方面驗(yàn)證是否已通過加載程序代碼中定義的全局變量建立WebSocket連接；另一方面，驗(yàn)證是否包含提交按鈕的支付頁面。確認(rèn)攻擊目標(biāo)后，C2服務(wù)器則返回定制化的惡意代碼。

·混淆代碼

在驗(yàn)證獲取服務(wù)器實(shí)際攻擊代碼后，Magecart攻擊團(tuán)伙通常采用混淆技術(shù)，使得安全專家難以辨識(shí)底層邏輯和攻擊進(jìn)程，從而在破譯攻擊時(shí)停滯不前。

·插入虛假表格

部分電商/零售公司會(huì)將支付流程進(jìn)行外包，竊密腳本由此將客戶重定向到第三方供應(yīng)商前在頁面上創(chuàng)建偽造的信用卡表單，隨后將所有收集到的數(shù)據(jù)發(fā)送到C2服務(wù)器，并允許用戶通過重定向到真實(shí)支付頁面完成支付流程，全程不漏痕跡。

C2,Command and Control,命令與控制。攻擊形式上，攻擊者會(huì)應(yīng)用惡意軟件來發(fā)起交互，對(duì)攻擊目標(biāo)施害與控制。

套路有限，同一框架暴露

通過對(duì)多起安全事件的調(diào)查，Akamai安全研究團(tuán)隊(duì)發(fā)現(xiàn)案例間的相似之處——攻擊者使用了相同的Magecart框架。在假冒成帶有編碼參數(shù)的偽造谷歌標(biāo)簽管理器時(shí)，攻擊參數(shù)隱藏了在多個(gè)受害者網(wǎng)站上發(fā)現(xiàn)的全部痕跡。

多數(shù)情況下，實(shí)際的攻擊代碼是由相關(guān)頁面加載程序代碼獲取，而攻擊者使用的域因網(wǎng)站而異。這都是為了使攻擊更加隱蔽和更難檢測(cè)。簡而言之，攻擊套路要點(diǎn)表現(xiàn)如下：

收藏Magecart攻擊小貼士

·模擬具有影響力的供應(yīng)商代碼片段，例如谷歌標(biāo)簽管理器

·使用Base64編碼隱藏如URL和域等攻擊者的全部指標(biāo)

·實(shí)現(xiàn)瀏覽器和C2的所有通信，提取攻擊代碼、泄露數(shù)據(jù)

·使用eval函數(shù)發(fā)起攻擊，使偽裝腳本更像是第一方腳本

·使用混淆技術(shù)，使安全研究人員難以理解代碼和攻擊邏輯

·重定向到合法第三方支付頁面前，注入虛假表格收集數(shù)據(jù)

使用Akamai Page Integrity Manager檢測(cè)威脅

探明新型Magecart攻擊原理之外，Akamai安全研究團(tuán)隊(duì)也針對(duì)該威脅展開Akamai Page Integrity Manager解決方案的性能測(cè)試。部署之后，結(jié)果顯示該攻擊立即得到識(shí)別和緩解。

Akamai Page Integrity Manager故障排除詳情

這項(xiàng)安全產(chǎn)品，是專為防止網(wǎng)頁瀏覽、表單劫持和Magecart攻擊而構(gòu)建，通過匯集大數(shù)據(jù)、啟發(fā)式、風(fēng)險(xiǎn)評(píng)分、人工智能等綜合檢測(cè)方法，可提供對(duì)網(wǎng)頁腳本執(zhí)行行為的可見性，及時(shí)發(fā)現(xiàn)潛藏暗處的惡意腳本，以及它們與其他腳本的關(guān)系，快速檢測(cè)和防御客戶端攻擊。

全新的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS v4.0)的新要求，強(qiáng)調(diào)現(xiàn)在任何在線處理支付卡的組織，都需保障瀏覽器內(nèi)的數(shù)據(jù)安全。在可預(yù)見的Magecart攻擊升級(jí)形勢(shì)下，Akamai安全研究團(tuán)隊(duì)將應(yīng)用包含Akamai Page Integrity Manager在內(nèi)的一整套檢測(cè)和防御安全解決方案，來幫助企業(yè)防范信譽(yù)受損和免卻數(shù)據(jù)泄露所致的巨額罰款。