Magecart 黑客将窃取的信用卡数据隐藏到图像文件中

Magecart黑客设计了一种新技术来混淆评论块中的恶意软件，并将窃取的信用卡数据隐藏到逃避检测的图像中。

Magecart 旗下的黑客组织 继续以电子商店为目标，通过软件窃取器窃取支付卡数据。至少自 2010 年以来，安全公司已经监视了十几个团体的活动 。

根据 RiskIQ 和 FlashPoint 之前发布的一份报告，一些团体比其他团体更先进，特别是被追踪为第 4 组的团伙似乎非常复杂。

这些团体的受害者名单很长，包括英国航空公司、 Newegg、 Ticketmaster、 MyPillow 和 Amerisleep以及 Feedify等几个主要平台 。

随着时间的推移，检测到数百万个 Magecart 实例，安全专家发现了数十个软件浏览脚本。

安全公司 Sucuri 的研究人员报告说，一些 Magecart 组织在攻击中使用的一种策略是将窃取的信用卡详细信息转储到服务器上的图像文件中。

这个技巧避免引起怀疑，在专家监控的攻击中，攻击者随后使用简单的 GET 请求下载数据。

在 Sucuri 调查的一起事件中，专家们注意到服务器上的几个图像文件继续填充有大量 base64 编码数据。将数据解码为纯文本后，专家发现它们是信用卡和 CVV 号码、账单地址、到期日期等。

尽管很难将攻击归因于特定的威胁行为者，但专家推测 Magecart Group 7 的参与是由于与该组相关的 TTP 重叠。

攻击者还使用了“串联”技术来混淆数据，下面是研究人员提供的示例：

<?php echo ""."h"."e"."".""."llo"."w"."o"."".""."r"."l"."d" ."";

服务器将其解释为简单的“helloworld”。

攻击者还习惯于使用注释块隐藏恶意软件，这些注释块在 功能上 没有任何作用，但添加了一层混淆，使检测变得更加困难。

Magecart 黑客还被发现在受感染的网站上实时捕获支付卡详细信息，然后将数据保存到服务器上的伪造样式表文件 (.CSS) 中，随后使用 GET 请求下载。

报告总结道： “MageCart 对电子商务网站构成了日益严重的威胁。” “从攻击者的角度来看：奖励太大，后果不存在，他们为什么不呢？通过在黑市上偷窃和出售被盗信用卡而发家致富。”