abc site 962 net

雷锋网7月27日消息，安全人员发现攻击者借助国际域名使用伪造的谷歌域名（IDN）托管和加载Magecart信用卡侧录器脚本，支持多个支付网关。

该网站的所有者将其域名列入Mcafeee 经过仔细研究，Siteadvisor服务的黑名单检测到了攻击，Sucuri安全人员发现，该罪魁祸首是基于JavaScript的支付卡侧录器。

使用IDN伪装和托管恶意内容的服务器是在网络钓鱼攻击过程中使用的一种障碍。这样，恶意领域的流量就可以作为从合法网站传输的数据包隐藏。

“我们的调查显示，该网站感染了来自恶意国际化域谷歌的信用卡侧录器-analytîcs[。] com(或ASCII中的xn-google-analytcs-xpb [。] com）Sucuri的研究团队发现，加载JavaScript。

abc site 962 net

据悉，攻击者注入的卡片略读脚本使用加载JavaScript，使用

document.GetElementsByTagName捕获任何输入数据，并使用输入或存储的元素名称捕获下拉菜单数据。

数据抓取

特别之处在于，如果它在访问者的Chrome或Firefox网络浏览器中检测到开发者的工具面板已经打开，它将自动改变其行为。如果该检查有一定的结果，分离器脚本将不会将其捕获的任何数据发送到其命令和控制(C2)服务器，以避免检测。

上述行为被一个名为Magecart的黑客组织使用。

正如在安全人员分析中发现的，这个Magecart侧录器脚本可以将其连接到Sanguine上 WillemeritySecurity研究员 de Groot几个月前发现的另一种类似的恶意工具。

在多线程加载器的帮助下，在被捕获的在线商店注入后，发现的卡片浏览脚本de Groot可以从世界各地收集50多个不同的支付网关。显然，个人无法如此详细地研究所有这些本地化支付系统。”De Grot当时说。

侧录器Sucuri使用另一个欺骗性的谷歌域名来提供截取付款信息，攻击者使用谷歌域名 [。] ssl [。] lnfo [。] cc 作为他们的exfiltration服务器，IDN。

Magecart黑客组织是一个高度动态有效的网络犯罪团体，自2015年以来一直存在。四年后，他们的活动一如既往地活跃。

它们代表着一种不断发展的网络威胁，它们一直是针对像Amerisleep和MyPillow这样的小型零售商和Ticketmaster，British Airways，OXO、Newegg等知名国际公司的攻击。

7月初，Magento安全研究公司Sanguine Security发现了一项大规模的支付卡侧取活动，成功突破了962家电商店。

5月，Magecart集团成功地将支付卡侧读脚本注入美国和加拿大数百家在线校园商店的Prismweb支持的结账页面。

JMalwarebytes安全研究员JJérômesegura发现，使用升级后的信用卡窃取程序脚本设计和使用基于iframe的网络钓鱼系统时，mesegura也与magecart有关。

参考来源：bleepingcomputer