Magecartを忘れないでください?
昨年11月, セキュリティ研究者は、悪名高いマルウェアが悪名高いマルウェアであることを発見しました, チェックアウトフォームからクレジットカードの詳細を収集することで知られています, [wplinkpreview url =”https://Sensorstechforum.com/sites-magecart-malware-reinfected/”]クリーンアップ後も再感染する可能性があります.
今, Magecartは、悪名高いキャンペーンで再びアクティブになります。 277 eコマースWebサイトがサプライチェーン攻撃に感染した. これは何を意味するのでしょうか?
新しいMagecartキャンペーンが検出されました
RiskIQとトレンドマイクロのセキュリティ研究者は、MagecartGroupとして知られる新しいサブグループに出くわしました。 12 サードパーティのJavaScriptライブラリにスキミングコードを挿入することで、標的のWebサイトに感染しています。. この手法は、ライブラリを利用するすべてのWebサイトに悪意のあるコードをロードします.
これらの活動をさらに調査したところ、スキミングコードがeコマースWebサイトに直接挿入されていないことが明らかになりました。, しかし、AdverlineによるサードパーティのJavaScriptライブラリに, フランスのオンライン広告会社, すぐに連絡しました. Adverlineはインシデントを処理し、CERTLaPosteとの関係で必要な修復操作をすぐに実行しました, トレンドマイクロの研究者は言った 彼らのレポートで.
RiskIQの研究者は、Magecartグループも注意深く監視しています。. どうやら, グループ 12 昨年9月にインフラストラクチャを作成しました, ドメインが登録されました, SSL証明書はLetsEncryptを介して設定されました, スキミングバックエンドがインストールされました. ハッカーは、実行時にデコードされてページに挿入されるリソースのbase64エンコードURLを含む小さなスニペットも利用します, RiskIQのレポートはハイライト.
このグループは、最後にAdverlineを介して標的のWebサイトを侵害することに成功しました。 2018.
MagecartGroup12のスキミングコードはわずかに異なることに注意してください。, と "面白いひねり」–自身の整合性チェックを実行することにより、難読化解除と分析から自身を保護します.
実際のインジェクションスクリプトは, 2段階で到着します, どちらも自己整合性チェックを実行するように設計されています. これが2つの段階がどのように行われるかです, なので 説明 RiskIQによる:
– 最初のステージ全体が関数として実行されます, これはグローバルに定義されています (これは重要)
– 第2段階はエンコードされ、ジャンクデータが埋め込まれます, これは新しいdivオブジェクトに書き込まれます
– 次に、この第2段階のデータのパディングが解除されます, デコード, そして最終的に実行された
– 実行されたコードはそれ自体への参照を取得します (グローバルに設定された) そして、JavaのhashCodeのJavaScript実装であるハッシュ関数を介して配置されます.
– チェックが検証した場合、次のステージが実行されます.
幸運, Adverlineは、影響を受けるJavaScriptライブラリから悪意のあるコードを削除することで、この問題をすでに修正しています。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: