新年一開始 ,趨勢科技就偵測到某個我們一直持續追蹤的網路盜卡集團突然活躍起來。在這段期間,我們發現有 277 個售票、旅遊、航空訂位等電子商務網站以及一些知名藥妝、服飾品牌自家的結帳網頁都被此犯罪集團注入了專門用來盜取支付卡資料的惡意程式碼 (趨勢科技命名為:JS_OBFUS.C.)。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術已能主動偵測並攔截這些惡意的程式碼 (顯示名稱為 Downloader.JS.TRX.XXJSE9EFF010)。
經由網路廣告供應鏈來散布惡意程式
這一波活動有點不太尋常,因為該集團過去向來都是入侵了電子商務網站並在網頁上注入惡意程式碼之後,就低調地默默躲著。結果,經過我們一番研究之後發現,駭客的盜卡程式碼並非直接注入電子商務網站的網頁,而是注入 Adverline 這家法國網路廣告公司的 JavaScript 程式庫當中,我們在發現之後已迅速通知該廣告公司。而 Adverline 也立即處理了這次事件,並馬上與 CERT La Poste 配合採取了一些必要的矯正措施。
圖 2:這波支付卡資料竊盜網路攻擊 (1 月 1-6 日) 每日活動數量 (上) 以及受害的國家分布 (下)。
資料來源:趨勢科技 Smart Protection Network™
根據此次攻擊假借第三方服務廠商軟體元件的情況來看,我們推測應該是 Magecart Group 5 犯罪集團所為。RiskIQ 曾指出該集團涉及了多起資料外洩事件,如去年的 Ticketmaster 資料外洩事件。在 Risk IQ 研究人員 Yonathan Klijnsma 的協助下,我們判斷這波支付卡資料竊盜網路攻擊應該是 Magecart 犯罪集團底下一個新的「Magecart Group 12」次團體所為。
Magecart Group 12 的攻擊模式
有別於其他網路盜卡集團直接入侵目標電子商務網站結帳平台的作法,Magecart Groups 5 和 Magecart Group 12 會攻擊電子商務網站所採用的第三方服務,將惡意程式碼注入這些服務所提供的 JavaScript 程式庫當中。如此一來,所有採用該服務的網站都會載入這些盜卡程式碼。而攻擊第三方服務的作法也讓歹徒能夠擴大攻擊範圍,進而竊取更多支付卡資料。
就此次 Adverline 的案例來說,歹徒是將程式碼注入一個可根據不同對象提供不同廣告的 JavaScript 程式庫。電子商務網站經常使用這樣的程式庫來標記網站訪客並提供可能會吸引他們回流的廣告。我們的研究指出,受害的網站因使用了 Adverline 的程式庫而載入Magecart Group 12 的盜卡程式碼,而該程式碼會將使用者在網頁上輸入的付款資料傳送至歹徒遠端的伺服器。
圖 3:電子商務網站被
Magecart Group 12 集團注入惡意程式碼。
圖 4:Adverline
的腳本被注入的惡意程式碼,這段程式碼會載入盜取支付卡資料的程式碼 (紅框標示)。