Silent Push 揭露自2022年起運作的Magecart網絡
Silent Push,一家網絡情報平台提供商,近日披露了一個新的網絡,該網絡利用被稱為Magecart的網路竊取工具,針對使用美國運通、Diners Club、Discover及萬事達卡等主要信用卡的在線購物者。
發現過程
Silent Push的高級威脅研究員Zach Edwards表示,研究人員在調查一個名為cdn-cookie[.]com的網站時發現了這個特定的Magecart網絡,該網站的IP地址屬於由PQ.Hosting/Stark Industries管理的ASN 209847。通過使用公司於2025年底收購的HYAS平台,Silent Push的研究人員發現該域名託管了多個加載高度混淆腳本的URL。進一步分析揭示了一個自2022年1月起運作的長期網絡竊取活動。
技術分析
研究顯示,該網絡使網絡犯罪分子能夠將惡意代碼嵌入合法的電子商務網站中,從至少六家主要支付網絡提供商中竊取信用卡數據。Edwards指出,運營這個Magecart網絡的網絡犯罪分子技術成熟,使用了包括字符串拼接、基於數組的字符串存儲、自執行匿名函數及其他編碼技術的高度混淆代碼。解淆後的代碼顯示大約600行JavaScript代碼實現了信用卡竊取功能,這些代碼被分割成多個函數,每個函數都與一個更大的攻擊有關。
應對建議
Silent Push建議組織實施內容安全策略(CSP),以限制外部資源的加載,特別是JavaScript,從而降低惡意代碼注入的風險。此外,組織應遵循支付卡行業數據安全標準(PCI DSS)要求,以確保持卡人和身份驗證數據的安全存儲、處理和傳輸。網站管理員應定期使用瀏覽器的隱私模式檢查其網站,或在清除瀏覽器緩存和歷史記錄後進行檢查。這一簡單的維護活動至關重要,因為許多網絡注入威脅使用檢測機制識別管理用戶,並故意在其存在時避免執行惡意代碼。
毫無疑問,網絡犯罪分子已經非常擅長利用電子商務網站來獲取信用卡數據,這些數據隨後被用於購買各種商品和服務。雖然許多信用卡發行商認識到數據被盜是在線業務成本的一部分,但仍然需要保持高度警惕以防止欺詐活動,這些活動往往可以追溯到信用卡號被簡單竊取。