Magecart 攻击者将被盗的信用卡数据保存在.JPG 文件中

来自Sucuri的研究人员在对受感染的Magento 2电子商务网站进行调查期间发现了该策略，该策略可以创造性地隐藏恶意活动，直到可以检索到信息为止。

Magecart攻击者找到了一种新的方法来隐藏他们恶意的在线活动，方法是将他们在线浏览的信用卡数据保存在他们注入恶意代码的网站上的.jpg文件中。

Sucuri恶意软件研究团队的Luke Leal在上周在线发布的一份报告中，网站安全公司Sucuri的研究人员最近在使用开源电子商务平台 Magento 2 对受感染网站进行调查期间发现了难以捉摸的策略。

他写道：“创造性地使用伪造的.JPG，攻击者可以隐藏并存储所收集的信用卡详细信息以备将来使用，而不会引起网站所有者的过多关注。”

Leal解释说，在受感染网站的内部窥视发现恶意注入正在捕获来自站点访问者的POST请求数据。他写道：“在结账页面上，它被发现在将捕获的数据保存到.jpg文件之前对其进行了编码。”

POST请求方法通常要求Web服务器接受请求消息正文中包含的数据，以便可以对其进行存储。当有人将文件上传到网站或提交完整的Web表单时，通常在Web交易中使用它。

特别是，Sucuri发现攻击者将PHP代码注入到名为./vendor/magento/module-customer/Model/Session.php的文件中，然后使用“ getAuthenticates ”功能加载恶意代码，Leal说。他说，代码还创建了一个.JPG文件，攻击者用来存储他们从受感染站点捕获的任何数据。

Leal写道：“此功能使攻击者可以在方便时轻松访问和下载被盗信息，同时将其隐藏在看似无害的JPG中。”

确实，旨在从在线交易中窃取数据的威胁行为者一直在努力寻找新的方法，以创造性的方式隐藏其活动，从而逃避检测。

Magecart攻击者是不同的威胁团体，他们都通过在付款页面上的刷卡脚本入侵电子商务网站，窃取客户付款和个人数据，他们对这一活动尤为熟练。他们经常将自己的略读技术隐藏在看起来可信的功能中，并利用他们攻击的平台来蚕食自己，以达到他们的结果。

例如，在圣诞节前后发现的Magecart广告系列隐藏在令人信服的PayPal iframe中，从而使电子商务网站的PayPal结帐过程能够窃取用户凭据和信用卡信息。

Leal解释说，最新的活动还利用了Magento代码框架来完成其卑鄙的工作，即收集捕获并隐藏在.JPG文件中的数据。他说，恶意PHP代码依靠Magento函数“getPostValue”捕获“CUSTOMER_POST参数”内的结账页面数据。

他还说，它还使用了Magento函数“ isLoggedIn ”来检查受害者是否以用户身份登录到网站，如果是这种情况，攻击者还会从交易中提取用户的电子邮件地址。

他写道：“受害者在结帐页面上提交的几乎所有信息都存储在’Customer_Parameters’中，包括全名和地址，支付卡详细信息，电话号码和用户代理详细信息，”他写道。

Leal补充说，一旦攻击者获得了客户付款数据，他们便可以继续将其用于各种犯罪活动，例如信用卡欺诈或针对性的基于电子邮件的垃圾邮件或网络钓鱼活动。

Sucuri建议，虽然这种最新的Magecart反检测方法可能会使感染最初难以发现，但如果网站所有者实施网站监控服务或完整性控制检查，它将帮助网站所有者识别环境中的新文件或在造成损害之前检测到潜在的恶意更改。