犯罪分子如何将私密信息通过图片等文件外带出来？ – 作者:懂珠宝的NetW0rk3r

摘要

隶属于Magecart的网络犯罪分子已经掌握了一种新的技术，即在评论区中混淆恶意软件代码，并将窃取的信用卡数据编码到服务器上托管的图像和其他文件中，这再次表明攻击者不断改进其感染链从而逃避检测。

正文

“Sucuri安全分析师Ben Martin在一篇文章中说：”一些Magecart 攻击者采用的一个策略是将刷卡的信用卡细节嵌入在服务器上的图像文件中，从而避免引起怀疑。”这些文件以后可以使用一个简单的HTTP GET请求下载。

MageCart是多个网络犯罪团伙的总称，他们以电子商务网站为目标，目的是通过注入恶意的JavaScript skimmers来掠夺信用卡号码，并在黑市上出售。

Sucuri根据威胁者采用的战术、技术和程序（TTPs）中的重叠部分，将这次攻击归于Magecart Group 7。

案例

在GoDaddy旗下的安全公司调查的一个Magento电子商务网站感染案例中，发现盗取器是以Base64编码的压缩字符串的形式插入到结账过程中的一个PHP文件中。

更重要的是，为了进一步掩盖恶意代码在PHP文件中的存在，据说对手使用了一种叫做concatenation的技术，其中代码与额外的注释块相结合，”在功能上不做任何事情，但它增加了一层混淆，使其在某种程度上更难以检测”。

最终，攻击的目的是在被攻击的网站上实时捕捉客户的支付卡细节，然后将其保存在服务器上的假样式表文件（.CSS）中，随后在威胁行为者的终端通过GET请求下载。

“马丁说：”MageCart对电子商务网站的威胁越来越大。”从攻击者的角度来看：回报太大，后果不存在，他们为什么不呢？通过在黑市上偷窃和出售被盗的信用卡，简直就是发了大财。”

结论

信息不对称和高收益，使得越来越多的不发分子涌入网络犯罪，通过技术的发展，谋求利益。

来源：freebuf.com 2021-07-12 09:03:10 by: 懂珠宝的NetW0rk3r

相关推荐: Globeimposter勒索病毒新变种分析 – 作者:阿里云安全

背景Globeimposter勒索病毒家族从2017年出现，自问世以来一直比较活跃，相继出现过多次变种。最近阿里云云安全中心捕捉到Globeimposter勒索病毒又一新型变种，该变种借助混淆后的AutoIt脚本，通过Process Hollowing技术将勒…