通过被黑的广告供应链开展新的Magecart攻击

1月1日，我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间，我们发现他们的恶意skimming代码（由趋势科技检测为JS_OBFUS.C。）加载在277个电子商务网站上，提供票务，旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码（检测为Downloader.JS.TRX.XXJSE9EFF010）。

这些活动很不寻常，因为该组织以将代码注入一些受到侵害的电子商务网站而闻名，然后在我们的监控过程中保持低调。对这些活动的进一步研究表明，skimming代码并未直接注入电子商务网站，而是直接注入法国在线广告公司 Adverline 的第三方JavaScript库，我们已及时与其取得联系。Adverline处理了这一事件，并与CERT La Poste立即开展了必要的补救措施。

图1：在线skimming攻击的攻击链

图2：访问恶意的web-skimming活动的时间表（上）;从1月1日到1月6日（下部）访问国家分布情况。注释：来自趋势科技™云安全智能防护网络™的数据

鉴于攻击的目标针对第三方服务，我们认为它们来自Magecart Group 5，RiskIQ报告称其与几个数据泄露事件有关，例如去年针对Ticketmaster的事件。在RiskIQ的安全研究员 Yonathan Klijnsma 的帮助下，我们确定这些web-skimming活动是由Magecart Group 12进行的，Magecart Group 12是一个新的Magecart组织。

Magecart Group 12的攻击链

与直接危害目标购物车平台的其他在线skimmer组织不同，Magecart Groups 5和12通过向JavaScript库注入skimming代码来攻击电子商务网站使用的第三方服务。这使得嵌入脚本的所有网站都可以加载skimming代码。定位第三方服务还有助于扩大其覆盖范围，从而允许他们窃取更多数据。

在Adverline的案例中，代码被注入JavaScript库以重新定位广告。这是电子商务网站使用的一种方法，在这些网站上对访问者进行标记，以便提供可以吸引他们回到网站的特定广告。在我们研究的时候，嵌入了Adverline重定向脚本的网站加载了Magecart Group 12的skimming代码，这些代码反过来窃取在网页上输入的支付信息，然后将其发送到远程服务器。

图3：Magecart Group 12向恶意电子商务网站注入的恶意代码

图4：Adverline重定向脚本中注入的恶意代码，旨在加载skimming代码（突出显示）

Skimming Toolkit略读 工具 包

Magecart Group 12使用了一个skimming工具包，其中包括两个混淆脚本。第一个脚本主要用于反逆向，而第二个脚本是主要的数据skimming代码。它们还包括代码完整性检查，用于检测脚本是否已修改。通过计算脚本部分的哈希值来完成检查，如果发现脚本与原始哈希不匹配，则停止执行脚本。

图5：负责完整性检查的工具包脚本中的代码快照（反混淆）

该脚本还不断清理浏览器调试器控制台消息以阻止检测和分析。其指纹识别程序的一部分包括检查脚本是否在移动设备上运行（通过检查浏览器User-Agent）以及是否有处理程序检查浏览器调试器是否已打开。指纹识别例程确认浏览器会话来自实际的消费者。

图6：负责指纹识别的工具包中的一个脚本的代码快照（反混淆）

Skimming付款数据

第二个脚本，主要的skimming代码，首先检查它们是否在购物网站上执行，检测URL中的相关字符串，如“结账”，“结算”和“购买”等。同样值得注意的是字符串“panier”，意思是法语中的“basket”，德语中的“kasse”或“checkout”。图2显示我们的大多数检测（访问Magecart Group 12控制域名）都在法国，当然在德国也有明显的活动。

如果它在URL中检测到任何目标字符串，则脚本将开始执行skimming行为。一旦在网页的输入表单上输入值而不是空，该脚本将复制表单名称和用户键入的值。被盗的付款和结算数据存储在 JavaScript LocalStorage 中，key值为Cache。复制的数据是Base64编码的。它还会生成一个随机数来指定个别受害者，并将其保留到LocalStorage中，key值为E-tag。只要用户关闭或刷新付款网页，就会触发JavaScript事件“ unload ”。然后，脚本通过HTTP POST将skimmed的支付数据，随机数（E-tag）和电子商务网站的域名发送到远程服务器，并在整个发送过程中进行Base64编码。

图7：攻击中使用的主要支付数据 – skimming代码（反混淆）

这些攻击进一步证明了保护运行网站、应用程序或Web应用程序的基础架构的重要性，尤其是那些存储和管理敏感数据的基础架构。定期打补丁和更新软件;禁用、限制或保护过时的组件或第三方插件;并加强证书或认证机制。 IT和安全团队还应主动监控其网站或应用程序是否存在恶意活动迹象，例如未经授权的访问和修改、数据泄露以及未知脚本的执行。

RiskIQ的分析（ analysis ）进一步揭示了Group 12活动与Magecart的相关性。

IoCs:

Skimming 脚本(SHA-256):

· 56cca56e39431187a2bd95e53eece8f11d3cbe2ea7ee692fa891875f40f233f5

· f1f905558c1546cd6df67504462f0171f9fca1cfe8b0348940aad78265a5ef73

· 87ee0ae3abcd8b4880bf48781eba16135ba03392079a8d78a663274fde4060cd

· 80e40051baae72b37fee49ecc43e8dded645b1baf5ce6166c96a3bcf0c3582ce

相关恶意域名:

·givemejs[.]cc

· content-delivery[.]cc

·cdn-content[.]cc

·deliveryjs[.]cc