過往駭客針對特定電商網站平臺發動攻擊的情況不時傳出,如今有人同時攻擊多種電商平臺的情況,引起研究人員提出警告。
資安業者Sucuri揭露同時鎖定不同電子商務平臺發動攻擊的信用卡側錄程式Caesar Cipher Skimmer,這是名為gtag的側錄工具變種,並在近期偵測到大量攻擊的情況,他們在2週內得知近80起事故。
他們指出攻擊者鎖定的目標,涵蓋多種內容管理平臺(CMS)及電子商務平臺,包括部署WooCommerce外掛程式的WordPress平臺,以及Magento和OpenCart。研究人員表示,雖然駭客使用相同惡意程式攻擊不同電商平臺相當常見,但大部分都是先後鎖定不同環境下手,像這次一口氣攻擊多種平臺的情況算是罕見。
針對這起攻擊行動的手法,研究人員指出對方企圖將惡意程式碼偽裝成網站分析工具Google Analytics、網站關鍵字管理工具Google Tag Manager,並經過混淆處理。經過他們的分析,這些程式碼使用了「凱撒密碼(Caesar Cipher)」重新編碼惡意內容,目的是隱藏用來存放惡意酬載的網域。
這些程式碼的主要功能,其實是用來載入另一個經過混淆處理的JavaScript指令碼,一旦執行,就會建立WebSocket通道,並與遠端伺服器連線,下載另一個側錄工具,其中部分的第二層指令碼甚至能檢查是否有WordPress用戶將其載入。
研究人員發現,部分版本的指令碼有俄文註解,推測攻擊者很有可能來自使用這種語言的國家。
而針對不同電商平臺的攻擊手法,也有所差異,針對WooCommerce平臺,攻擊者有可能針對與結帳有關的PHP檔案form-checkout.php下手,但也有濫用另一個WordPress外掛程式WPCode注入惡意程式碼的情況。
關於滲透Magento平臺的伎倆,Sucuri研究人員主要是在core_config_data這個資料庫的資料表找到,因為被塞入Magento系統管理主控臺的惡意程式碼,就是存放在這裡。
至於OpenCart平臺如何被攻破,尚無客戶出面表示他們的系統是在何處受到感染,因此,Sucuri無法完全確定這些惡意程式暫存的位置,後續若有更明確的消息會再發布。
熱門新聞
2024-10-05
2024-10-04
2024-10-02
2024-09-29
2024-10-03
2024-10-01
2024-10-01