僅一行惡意代碼,侵入七家電子商務(wù)網(wǎng)站,竊取了數(shù)千名顧客的銀行卡數(shù)據(jù)

黑客無孔不入，現(xiàn)在要對網(wǎng)絡(luò)購物網(wǎng)站下手了嗎？犯罪分子僅使用一行惡意代碼就成功侵入了至少7家電子商務(wù)網(wǎng)站，并竊取了數(shù)千名顧客的銀行卡數(shù)據(jù)。

據(jù)外媒報(bào)道，犯罪分子僅使用一行惡意代碼就成功侵入了至少7家電子商務(wù)網(wǎng)站，并竊取了數(shù)千名顧客的銀行卡數(shù)據(jù)。

其中6家電子商務(wù)網(wǎng)站位于美國，還有一家是位于英國的鞋類制造商Fila。安全供應(yīng)商Group-IB發(fā)現(xiàn)了這些攻擊，并識(shí)別出惡意代碼為新出現(xiàn)的JavaScript嗅探器（JS嗅探器），并將其命名為GMO。

Group-IB稱，研究人員于3月初在Fila UK網(wǎng)站上首次發(fā)現(xiàn)了GMO JS嗅探器。該公司隨后的調(diào)查顯示，該惡意軟件至少自2018年5月以來就一直處于活躍狀態(tài)，6家規(guī)模相對較小的美國電子商務(wù)網(wǎng)站也受到了影響。

Group-IB表示這六個(gè)網(wǎng)站分別是forshaw.com、 absolutenewyork.com、 cajungrocer.com、getrxd.com、jungleeny.com和sharbor.com。據(jù)估計(jì)，每月訪問這些網(wǎng)站的總?cè)藬?shù)約為35萬人。

GMO的目標(biāo)是基于Magento內(nèi)容管理系統(tǒng)的電子商務(wù)網(wǎng)站。該惡意軟件是JS嗅探器家族成員之一，整個(gè)家族至少有38個(gè)，用來從網(wǎng)上商店竊取支付卡數(shù)據(jù)和憑證。

Group-IB表示，攻擊者要么是通過Magento的一個(gè)未知漏洞，要么以某種方式破壞網(wǎng)站管理員的憑證之后，將竊取信用卡的代碼注入網(wǎng)站。

只需一行代碼，等到用戶登陸受影響的電子商務(wù)網(wǎng)站的結(jié)帳頁面，就可以下載JS嗅探器。嗅探器攔截進(jìn)入頁面的信用卡數(shù)據(jù)，將數(shù)據(jù)放入本地存儲(chǔ)，然后發(fā)送到攻擊者控制的系統(tǒng)。

這場GMO攻擊與去年的一場非常相似，但規(guī)模要小得多。去年，Magecart黑客組織在全球約800家電子商務(wù)網(wǎng)站安裝了小型竊取銀行卡的惡意軟件，其中包括國際賽事票務(wù)預(yù)訂平臺(tái)Ticketmaster的英國網(wǎng)站。攻擊者在用于客戶支持和發(fā)送推送通知等第三方軟件組件中安裝了嗅探器。

Group-IB負(fù)責(zé)國際業(yè)務(wù)的副總裁 Nicholas Palmer表示，GMO JS嗅探器背后的組織似乎是比較新的黑客組織。每個(gè)JS嗅探器都具有獨(dú)特的特性，一些是多用途的，一些是專門針對電子商務(wù)網(wǎng)站的特定內(nèi)容管理系統(tǒng)和第三方軟件組件而設(shè)計(jì)的。

Palmer稱，盡管JavaScript嗅探器很簡單，但它們非常危險(xiǎn)。這些工具可以用來竊取成千上萬客戶的數(shù)據(jù)，全球任何一家電子商務(wù)企業(yè)都很容易受到這類攻擊，而且受影響的不只是網(wǎng)上商店，還有支付系統(tǒng)和銀行。