Magecart 攻击使用 postMessage 劫持 PayPal 交易

新的信用卡分离器使用postmessage使恶意程序看起来对受害者来说是真实的，以窃取付款数据。

恰逢忙碌的在线假期购物旺季，Magecart帮派想出了一种新的信用卡掠夺技术，用于在结帐时劫持PayPal交易。

Affable Kraut的安全研究人员发现了该技术，该技术使用postMessage将令人信服的PayPal iframe注入到在线购买的结帐流程中，“这是第一个部署这种方法的分离器，”他在Twitter上说。

Magecart是一个笼统的术语，涵盖了几个都使用相同攻击方法的不同威胁组：他们破坏电子商务网站，在结帐页面上注入窃取卡脚本，窃取毫无疑问的客户的支付卡详细信息以及在字段中输入的其他信息页。然后将信息发送回攻击者控制下的服务器。

Affable Kraut使用了来自Sansec（一家旨在打击数字盗版的安全公司）的数据，以窥视新的卡片盗版技术的作用。尽管大多数试图模仿PayPal页面以诱骗用户输入详细信息的方法即使在被劫持的过程中看起来也不是很真实，但他观察到的方法“经过大量工作来尝试并尽可能令人信服，” Kraut发了推文。

导致这种外观的关键因素之一是它使用了名为window.postMessage的脚本，该脚本使Web页面与它所产生的弹出窗口之间或页面与嵌入其中的iframe之间能够进行跨域通信。

通常，不同页面上的脚本仅当且仅当它们原始的页面共享相同的协议，端口号和主机时，才能相互访问。研究人员说，PostMessage可以绕开此限制，攻击者可以利用它来以对用户看起来真实的方式传输被盗的付款信息。

这次攻击使用一种隐写方法将恶意代码隐藏在受感染的在线商店服务器上托管的映像中，Affable Kraut说，该方法是他的同事去年首次发现的。

他说，虽然一开始这个代码看起来和其他很多抓取器类似，它抓取用户输入表单的数据，然后将其提取出来，但它的功能与其他抓取器非常不同。该研究人员表示，该公司利用这些被窃取的数据来改进其伪造的支付形式。

攻击是通过预先填充要在受害者的结帐过程中显示的假PayPal表单（而不是合法的表单）来完成的，这增加了购物者成为恶意行为的受害者的可能性。

“当受害者看到此页面时，现在页面已部分填写，这肯定会增加捕获其全部付款数据的几率，” Affable Kraut发推文说。

抓取器甚至在填写PayPal表格之前分析信息，如果数据不好，它实际上发送一个消息回受害者的网站页面，从结帐页面删除恶意iframes。

但是，如果数据通过了解析过程，则攻击将使用 _ _ activatePg 调用来将表单预填充到恶意交易中。Affable Kraut说，它甚至可以传递购物车中的物品以及准确的交易总额，税金和运输成本，从而使攻击更加合理。

受害者输入并提交付款信息后，抓取器会将数据渗漏到apptegmaker[.]com，该域名于2020年10月注册并连接到tawktalk[.]com。后者曾在以前的Magecart团体攻击中使用过。然后，分离器单击恶意iframe后面的订购按钮，然后将受害者发送回合法的结帐页面以完成交易。

这个月的圣诞节假期购物季节在上个周末开始，很可能是网上事件，这将使像Magecart和相关团体这样的攻击者集中精力窃取付款凭证。在过去的几个月中，已经看到攻击者改变了策略和受害者，并加大了对电子商务的攻击。

9月，Magecart开展了迄今为止最大的活动之一，将近2,000个电子商务站点黑客入侵了一个自动活动中，该活动可能与零时差攻击相关。攻击影响了成千上万的信用卡和其他信息被盗的客户。那个月该小组还被视为使用加密消息服务Telegram作为将窃取的信用卡信息发送回其命令和控制（C2）服务器的渠道。

然后在10月，一个名为Fullz House小组的Magecart衍生组织针对了Boom中一个不太可能的受害者！移动平台，以电子商务攻击为目标，瞄准无线服务经销商的网站。