專竊取信用卡的駭客集團Magecart,對277 個網站發動新一波攻擊

新年一開始 ,趨勢科技就偵測到某個我們一直持續追蹤的網路盜卡集團突然活躍起來。在這段期間,我們發現有 277 個售票、旅遊、航空訂位等電子商務網站以及一些知名藥妝、服飾品牌自家的結帳網頁都被此犯罪集團注入了專門用來盜取支付卡資料的惡意程式碼 (趨勢科技命名為:JS_OBFUS.C.)。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術已能主動偵測並攔截這些惡意的程式碼 (顯示名稱為 Downloader.JS.TRX.XXJSE9EFF010)。

經由網路廣告供應鏈來散布惡意程式

這一波活動有點不太尋常,因為該集團過去向來都是入侵了電子商務網站並在網頁上注入惡意程式碼之後,就低調地默默躲著。結果,經過我們一番研究之後發現,駭客的盜卡程式碼並非直接注入電子商務網站的網頁,而是注入 Adverline 這家法國網路廣告公司的 JavaScript 程式庫當中,我們在發現之後已迅速通知該廣告公司。而 Adverline 也立即處理了這次事件,並馬上與 CERT La Poste 配合採取了一些必要的矯正措施。


圖 1:網路支付卡資料竊盜攻擊過程。

圖 2:這波支付卡資料竊盜網路攻擊 (1 月 1-6 日) 每日活動數量 (上) 以及受害的國家分布 (下)。
資料來源:趨勢科技 Smart Protection Network

根據此次攻擊假借第三方服務廠商軟體元件的情況來看,我們推測應該是 Magecart Group 5 犯罪集團所為。RiskIQ 曾指出該集團涉及了多起資料外洩事件,如去年的 Ticketmaster 資料外洩事件。在 Risk IQ 研究人員 Yonathan Klijnsma 的協助下,我們判斷這波支付卡資料竊盜網路攻擊應該是 Magecart 犯罪集團底下一個新的「Magecart Group 12」次團體所為。

Magecart Group 12 的攻擊模式

有別於其他網路盜卡集團直接入侵目標電子商務網站結帳平台的作法,Magecart Groups 5 和 Magecart Group 12 會攻擊電子商務網站所採用的第三方服務,將惡意程式碼注入這些服務所提供的 JavaScript 程式庫當中。如此一來,所有採用該服務的網站都會載入這些盜卡程式碼。而攻擊第三方服務的作法也讓歹徒能夠擴大攻擊範圍,進而竊取更多支付卡資料。

就此次 Adverline 的案例來說,歹徒是將程式碼注入一個可根據不同對象提供不同廣告的 JavaScript 程式庫。電子商務網站經常使用這樣的程式庫來標記網站訪客並提供可能會吸引他們回流的廣告。我們的研究指出,受害的網站因使用了 Adverline 的程式庫而載入Magecart Group 12 的盜卡程式碼,而該程式碼會將使用者在網頁上輸入的付款資料傳送至歹徒遠端的伺服器。


圖 3:電子商務網站被 Magecart Group 12 集團注入惡意程式碼。


圖 4:Adverline 的腳本被注入的惡意程式碼,這段程式碼會載入盜取支付卡資料的程式碼 (紅框標示)。

盜卡工具套件


Magecart Group 12 使用了一個盜卡工具套件來注入兩段經過加密編碼的腳本。第一段腳本主要是用來反制逆向工程,第二段才是主要的支付卡資料竊盜程式碼。除此之外,程式碼中也包含了一致性檢查功能以確保其腳本未遭到篡改。檢查的方法是計算整段腳本的雜湊碼,如果雜湊碼與原本不符,就不執行腳本。


圖 5:執行一致性檢查的腳本程式碼 (加密編碼已解開)。

除此之外,該腳本還會不斷清除瀏覽器除錯畫面上的訊息,以防止自己被偵測或分析。其反制偵測的檢查項目還包括檢查腳本是否在行動裝置上執行 (檢查瀏覽器的 User-Agent 數值) 以及是否有用來檢查瀏覽器除錯器是否開啟的函式。這些檢查一切都是為了確認開啟瀏覽器的是真實的使用者。


圖 6:反制偵測的程式碼 (加密編碼已解開)。

盜取支付卡資料


第二段腳本是盜取支付卡資料的主程式碼,首先,它會先檢查自己是否在結帳平台網站上執行,它會偵測網址當中是否包含特定字串,例如:「checkout」、「billing」、「purchase」等等。此外還有像「panier」(法文的「菜籃」)、「kasse」(德文的「結帳」) 等字串。圖 2 顯示我們偵測到的絕大部分案例 (連上 Magecart Group 12 所掌控的網域) 都是在法國,而德國也有不少活動。

當腳本在網址中找到任一上述特定字串時,就會開始執行盜取支付卡資料的行為。只要網頁表單欄位輸入的資料不是空白,腳本就會將表單名稱連同使用者輸入的數值拷貝下來。這些付款資料會儲存在一個 JavaScript 的 LocalStorage 當中,並使用「Cache」為 key。拷貝下來的資料會經過 Base64 編碼。此外,還會產生一個隨機碼來當成受害者的識別碼,並儲存至 LocalStorage 當中 (以「E-tag」為 key)。當使用者關閉或重新整理付款頁面時,就會產生一個「unload」JavaScript 事件。此時腳本就會將竊取到的資料,連同前述的隨機碼 (E-tag) 與電子商務網站的網域名稱,經過 Base64 編碼之後,以 HTTP POST 方式傳送至遠端伺服器。


圖 7:此攻擊竊取支付卡資料的主程式碼 (加密編碼已解開)。

這波攻擊再次印證了保護網站、應用程式或網站應用程式基礎架構的重要性,尤其是負責儲存和管理敏感資料的基礎架構。此外也應定期修補及更新軟體,停用、限制使用、或妥善保護過時的軟體元件或第三方外掛程式,還有提升登入憑證或認證機制的強度。而 IT 及資安團隊也應主動監控自己的網站或應用程式是否有犯罪活動的跡象,例如:未經授權的存取及修改、資料外傳、執行不明腳本等等。

RiskIQ 的分析進一步證明了 Group 12 與 Magecart 有所關聯。

下列採用 趨勢科技的XGen安全防護技術為基礎的趨勢科技解決方案皆能保護使用者和企業,有效攔截惡意腳本並防止使用者連上惡意網域:

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用

入侵指標 (IoC):
盜取支付卡資料的腳本 (SHA-256):

  • 56cca56e39431187a2bd95e53eece8f11d3cbe2ea7ee692fa891875f40f233f5
  • f1f905558c1546cd6df67504462f0171f9fca1cfe8b0348940aad78265a5ef73
  • 87ee0ae3abcd8b4880bf48781eba16135ba03392079a8d78a663274fde4060cd
  • 80e40051baae72b37fee49ecc43e8dded645b1baf5ce6166c96a3bcf0c3582ce

相關惡意網域:

  • givemejs.cc
  • content-delivery.cc
  • cdn-content.cc
  • deliveryjs.cc

原文參考出處: New Magecart Attack Delivered Through Compromised Advertising Supply Chain 作者:Chaoying Liu 與 Joseph C. Chen

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

好友人數