1. 威客安全首页
  2. 安全资讯

黑客将Magecart攻击恶意代码注入路由器

黑客将Magecart攻击恶意代码注入路由器

IBM安全研究人员又发现了Magecart攻击的新玩法:将创建的恶意脚本部署在商业级“第7层”路由器上。

Magecart攻击也叫网络浏览,是互联网欺诈的一种形式,通过破坏第三方脚本服务、窃取支付信息并将恶意软件注入到该页面时,支付页面就会受到威胁。进行这些攻击的犯罪团伙不仅能从访问者处窃取数据,还能从网站管理员那边窃取数据,专门用来进行Magecart攻击的代码不仅能在网页里、隐藏在JavaScript或是PHP脚本文件上分发。而现在,这些Magecart攻击又升级了,恶意代码可直接在路由器的级别注入,根本不需要在网站上注入了。

什么是L7路由器

第七层路由器是一种商用、重型路由器,通常安装在大型网络如宾馆、商场、机场、赌场、政府网络、公共空间等场所。其工作原理与其他路由器没什么不同,只是能在开放系统互连模型(OSI模型)的第七层(应用层)操控流量,可以不只是基于IP地址(如Cookies、域名、浏览器类型等对流量做出反应。

黑客将Magecart攻击恶意代码注入路由器

根据IBM X-Force事件反应与情报服务小组(IRIS)的研究报告称,一个已知的黑客组织已经在测试将Magecart攻击脚本部署在L7路由器上的证据,思路是先将L7路由器感染,再用其强大的流量操控特性,在用户的动态浏览器会话中注入恶意脚本。

研究人员称其发现的脚本是特别为从在网点提取支付卡数据而设,之后再将所窃信息上传到远程Web服务器上,脚本文件是研究人员在VirusTotal系统平台发现。VirusTotal是一个基于Web的杀毒聚合器,而这些脚本被上传在了该平台上面。脚本一共有17个,基于不同的目的,研究人员将其分为五组。

黑客将Magecart攻击恶意代码注入路由器

“路由器文件测试”背后的已知黑客组织

研究人员称这17个文件代码的域和其他指标与已知黑客组织Magecart#5相关,其参与攻击过IT公司,并在其产品中植入了卡片窃取代码,还使用CDN(内容分发网络)和广告分发恶意代码。

这种类型的攻击就是Magecart攻击了,该攻击已经存在至少三年,但去年开始成为了新的流行趋势。位于美国加州的网络安全公司RiskIQ威胁研究负责人Yonathan Klijnsma称,Magecart#5是该公司所追踪到的最复杂的黑客组织。

测试文件是否在用尚不得而知

IBM IRIS研究人员称该组织的测试脚本是在4月11至14日之间上传到了VirusTotal上,但现在还不能确定黑客是否将其部署在了路由器上。据IBM的研究人员表示,该组织一直忙于在美国和中国的线上商铺窃取卡片数据,当然,他们也会顺带将已经在路由器上植入过恶意脚本的商铺作为目标。

从用户的角度上来讲,这种Magecart攻击的受害人只能是任人宰割,因为他们也做不了什么,毕竟是路由器级别,也就是不在不熟悉的公共网络(酒店、机场、商场)上网购,仅此而已。但在家购物就能避免Magecart攻击了吗?Naive了吧?家里还有网页级恶意代码注入呀。

研究人员给出的预防方案是使用虚拟卡片服务,使用这种卡片的用户可临时获取卡号,一次交易后便可作废。这样一来,即便卡号被窃取,这些过期卡号对黑客来说也没用处了,但这种服务不是每个国家都有的。

Magecart攻击进化到了在路由器上注入代码这一步了,但这对研究人员来说已经不足为奇,因为过去十多年来,路由器一直也是攻击的目标,也有用来重定向钓鱼链接、恶意下载或注入加密攻击脚本、注入恶意广告等等,只是这一次又加上了个Magecart攻击而已。

原文链接:http://www.mottoin.com/detail/4212.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X