Magecart撇帐员知道大型公共WiFi网络的支付细�

大家好，今日小科来聊聊一篇关于Magecart撇帐员知道大型公共WiFi网络的支付细�的文章，现在让我们往下看看吧！

这些发现是由IBM X-Force IRIS团队的专家做出的，特别是涉及到第7层(L7)路由器，通常是酒店等企业部署的，所以很多客户可以一次接入网络。

研究人员表示，网络犯罪分子瞄准使用L7路由器的行业是一种常见的做法，因为“他们拥有丰富的客户数据，其中通常包括支付卡数据——这是Magecart Group的标志”。

与Magecart相关的恶意软件从向网站注入代码开始。在已知的12个Magecart关联组中，mage cart组5 (MG5)最为出名，研究人员认为这个组就是路由器攻击的幕后黑手。

麦克卡特组织可能因高调攻击英国航空公司、Ticketmaster和Newegg而闻名，这是一场非常有利可图的劫机运动，据GDPR称，这有助于ICO打算罚款1.83亿英镑。

研究人员根据两个JavaScript分隔符文件样本将攻击归因于MG5。他们发现他们有相同的作者，故意的命名方案和穆里诺在俄罗斯的上传位置。

这次调查的开始是在VirusTotal上找到MG5链接的代码，这是Black Hat最喜欢的黑帽子，用来检查它是否在主动监控或检测代码。

吸引研究人员注意的一个脚本是“test4.html”。从同一个组和位置上传了17个不同版本的脚本，但进行了细微的更改。有些文件名有“catch”，这些文件似乎包含新插入的try-catch错误处理程序以避免被检测到。

它基于之前在2012年发现的旧脚本“adv nad 20 . js”，该脚本与之前的JavaScript(尽管是良性的)相关联，该JavaScript将在线广告注入到通过酒店Wi-Fi访问的任何网页中(尽管是良性的)。

Tripwire漏洞和IT Pro暴露研究团队的计算机安全研究员克雷格杨(Craig Young)表示：“将JavaScript有效载荷注入毫无戒心的酒店客人的连接中，对于想要获取敏感数据或资源的骗子来说，是一个巨大的胜利。”

“例如，考虑某人在前往卫星办公室时从酒店使用WiFi。第二天早上，当同一台计算机连接到公司时，从酒店WiFi加载的JavaScript实际上可能仍在执行(通过网络工人或打开的选项卡)。现在，这个JavaScript可以通过毫无戒心的员工笔记本电脑在一定程度上中继到网络资源的连接。”

研究人员表示，Magecart skimmer的目的是将恶意Web资源注入L7路由器，并注入恶意广告，用户可能必须点击这些广告才能访问公共网络。这样，如果访问者支付数据通过被感染的路由器浏览，就可能被窃取。

IBM的研究人员已经向电子商务网站和银行通报了恶意攻击，并做出了必要的改变来保护他们的客户。

这篇好文章是转载于：知行礼动