恶意软件分析:基于PHP的skimmer表明Magecart活动仍在继续
概述
Web skimming对于在线商城和网购用户来说,仍然是一种非常严重的安全威胁。在这一领域,从普通业余爱好者,到国家级别的黑客组织(比如说 Lazarus ),网络犯罪分子的复杂程度各不相同。
在安全方面,许多电子商务网站仍然容易受到攻击,因为它们多年来都没有升级过他们的内容管理软件(CMS)。我们今天看到的活动是关于一些Magento1网站的,而这些网站已经被一个非常活跃的skimmer组织所入侵了。
通过分析后我们发现,去年秋天被发现的Magecart Group 12就是Magento 1攻击事件背后的始作俑者,而这个组织现在仍在继续传播新的恶意软件。网络犯罪分子会利用这些被称为Smilodon或Megalodon的Wen Shell并通过服务器端请求将JavaScript skimming代码加动态加载进在线商城站点中。这种技术非常有意思,因为大多数客户端安全工具都无法检测或阻止skimmer。
Web Shell以favicon的形式隐藏
在对Magento 1网站使用网络爬虫进行分析时,我们检测到了一个伪装成favicon图标的新型恶意软件。其中,文件名为Magento.png的文件会尝试将其以“image/png”传递,但该文件并没有正确的合法图像文件PNG格式内容。
恶意软件可以将合法图标快捷方式标签图换成伪造PNG文件的路径,来实现针对目标站点的入侵。跟使用伪造favicon图标文件来隐藏恶意JavaScript代码的攻击事件不同,这种攻击方式最终将实现一个PHP Web Shell。但是,当前网络犯罪分子所实现的这个PHP脚本并不能被正确加载。
Web Shell是一种非常流行的恶意软件类型,它允许攻击者实现针对目标主机的远程访问和管理,它们通常会在攻击者利用漏洞实现针对目标主机的入侵之后加载进一台Web服务器中。
为了对这个Web Shell进行深入分析,我们将其进行了反向解码。我们看到,它会从一台域名为zolo[.]ow的外部主机获取数据。
在对m1_2021_force目录进行深入分析之后,我们发现了专门针对信用卡数据窃取的专用代码。
其中的数据提取部分与Denis@UnmaskParistes研究员在今年三月份于WordPress网站(Smilodon恶意软件)上发现的内容相符,后者还可以窃取用户凭证数据:
下面给出的是SanSec报告的类似的PHP文件(Mage.php):
在针对Mageto 1EOL攻击事件进行分析时,SamSec之前还报告过类似的路径/文件名:
这意味着,我们当时和现在可能正在研究相同的威胁因素,我们可以通过研究正在使用的基础设施来确认这一点。
Magecart Group 12
因为我们在Magento 1.x网站上发现了favicon Webshell,所以我们认为可能与去年发现的Magento 1分支(不再维护)漏洞攻击事件有关。RiskIQ记录了这些攻击事件,并将其与当时的Magecart Group 12联系起来。
我们发现的最新域名(zolo[.]pw)恰好与先前Magecart Group 12关联的域recaptcha-in[.]pw和google statik[.]pw托管在相同的IP地址(217.12.204[.]185)上。
动态加载的skimmer
现在有很多方法可以加载skimming代码,但最常见的就是通过调用外部JavaScript资源来实现。当一个客户访问一个在线商店时,他们的浏览器会向一个托管skimmer的域发出请求。尽管犯罪分子会不断扩展他们的基础设施,但对于那些使用域/IP数据库的skimmer来说,阻止和屏蔽还是相对容易的。
相比之下,本文所介绍的skimmer会将代码动态地注入到商家网站中。向托管skimming代码的恶意域发送请求的是服务器端,而不是客户端。这样一来,除非所有被入侵的在线商城都被加入黑名单,否则这将导致基于数据库的屏蔽方法将行不通。一种更有效、但也更复杂且容易出现误报的方法是实时检查DOM,并检测何时加载了恶意代码。
入侵威胁指标IoC
facedook[.]host
pathc[.]space
predator[.]host
google-statik[.]pw
recaptcha-in[.]pw
sexrura[.]pw
zolo[.]pw
kermo[.]pw
psas[.]pw
pathc[.]space
predator[.]host
gooogletagmanager[.]online
imags[.]pw
y5[.]ms
autocapital[.]pw
myicons[.]net
qr202754[.]pw
thesun[.]pw
redorn[.]space
zeborn[.]pw
googletagmanagr[.]com
autocapital[.]pw
http[.]ps
xxx-club[.]pw
y5[.]ms
195[.]123[.]217[.]18
217[.]12[.]204[.]185
83[.]166[.]241[.]205
83[.]166[.]242[.]105
83[.]166[.]244[.]113
83[.]166[.]244[.]152
83[.]166[.]244[.]189
83[.]166[.]244[.]76
83[.]166[.]245[.]131
83[.]166[.]246[.]34
83[.]166[.]246[.]81
83[.]166[.]248[.]67