網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn)了一種竊取信用卡信息的惡意軟件活動，該活動主要針對運行Magento的電商網(wǎng)站。為了逃避檢測，攻擊者將惡意內(nèi)容隱藏在HTML代碼的圖片標(biāo)簽中。

MageCart惡意軟件的新伎倆

MageCart是一種專門從在線購物網(wǎng)站竊取敏感支付信息的惡意軟件。此類攻擊通常會利用客戶端或服務(wù)器端的技術(shù)手段，通過植入信用卡信息竊取程序來實施盜竊。通常情況下，這種惡意軟件會在用戶訪問結(jié)賬頁面輸入信用卡信息時被觸發(fā)或加載，要么通過展示虛假表單，要么實時捕獲受害者輸入的信息。

“MageCart”這一名稱來源于這些網(wǎng)絡(luò)犯罪組織的原始目標(biāo)——為在線零售商提供結(jié)賬和購物車功能的Magento平臺。多年來，此類攻擊活動通過編碼和混淆技術(shù)，將惡意代碼隱藏在看似無害的資源中，如假圖片、音頻文件、網(wǎng)站圖標(biāo)，甚至是404錯誤頁面。

Sucuri研究員Kayleigh Martin表示：“在這種情況下，影響客戶端的惡意軟件的目標(biāo)同樣是保持隱蔽。它通過將惡意內(nèi)容隱藏在HTML的<img>標(biāo)簽中來達到這一目的，使其容易被忽略?！?/p>

利用Onerror事件執(zhí)行惡意代碼

與普通的<img>標(biāo)簽不同，此次攻擊中的<img>標(biāo)簽充當(dāng)了誘餌，其中包含指向JavaScript代碼的Base64編碼內(nèi)容。當(dāng)檢測到onerror事件時，該代碼就會被激活。這種攻擊方式更加隱蔽，因為瀏覽器默認信任onerror函數(shù)。

Martin解釋說：“如果圖片加載失敗，onerror函數(shù)會觸發(fā)瀏覽器顯示一個破損的圖片圖標(biāo)。然而，在此次攻擊中，onerror事件被劫持以執(zhí)行JavaScript代碼，而不僅僅是處理錯誤?！?/p>

此外，攻擊者還利用了<img>HTML元素的“無害性”來增加攻擊的成功率。惡意軟件會檢查用戶是否處于結(jié)賬頁面，并等待毫無戒備的用戶點擊提交按鈕，從而將他們輸入的敏感支付信息竊取到外部服務(wù)器。

惡意腳本的設(shè)計目的是動態(tài)插入一個包含三個字段（卡號、有效期和CVV）的惡意表單，并將竊取的信息發(fā)送到wellfacing[.]com。

Martin補充道：“攻擊者通過這個惡意腳本實現(xiàn)了兩個令人印象深刻的目標(biāo)：一是將惡意腳本編碼到<img>標(biāo)簽中以規(guī)避安全掃描器的檢測，二是確保最終用戶在惡意表單被插入時不會注意到異常變化，從而盡可能長時間地保持隱蔽?！?/p>

針對電商平臺的持久性攻擊

針對Magento、WooCommerce、PrestaShop等平臺的攻擊者，其目標(biāo)是盡可能長時間地不被發(fā)現(xiàn)。他們注入網(wǎng)站的惡意軟件通常比影響其他網(wǎng)站的常見惡意軟件更為復(fù)雜。

與此同時，網(wǎng)絡(luò)安全公司還詳細披露了一起涉及WordPress網(wǎng)站的事件。攻擊者利用mu-plugins（或必用插件）目錄植入后門，并以隱蔽方式執(zhí)行惡意PHP代碼。

Puja Srivastava指出：“與常規(guī)插件不同，必用插件在每次頁面加載時都會自動加載，無需激活或出現(xiàn)在標(biāo)準(zhǔn)的插件列表中。攻擊者利用此目錄來保持持久性并規(guī)避檢測，因為放置在此處的文件會自動執(zhí)行，并且無法通過WordPress管理面板輕易禁用?！?/p>