研究人员发现攻击者利用404错误页面隐藏恶意代码,针对Magento和WooCommerce网站。攻击分三个阶段,通过加载器、混淆的JavaScript和数据泄露。Akamai揭示了两种变体,包括HTML图像标签和内联脚本中的恶意代码植入。
研究人员发现了一种新的数字浏览活动,它将恶意代码隐藏在404页面中以避免被发现。
Akamai安全研究员Roman Lvovsky周一在一篇博客文章中解释说,攻击的目标是Magento和WooCommerce网站,包括一些属于食品和零售行业大型组织的网站。
Magecart攻击通常通过利用目标网站或网站使用的第三方服务的漏洞,在支付页面上部署略读恶意软件。
像往常一样,这些攻击被分成三个不同的阶段,以使它们更难被发现,分别是加载程序、恶意攻击代码和数据泄露。
加载器执行后,攻击者会向/icons发送一个获取请求,这是一个实际不存在的相对路径。这个请求导致了一个404 Not Found错误。
在对响应返回的HTML进行分析后,它似乎是网站的默认404页面。这令人困惑,让其怀疑发现的受害网站上的浏览器是否不再活跃。
然而,经过仔细检查,Akamai在加载器中找到了404页面HTML中存在的字符串COOKIE_ANNOT的正则表达式匹配。在这个字符串旁边,它发现了一个长base64编码的字符串,它实际上代表了混淆的JavaScript攻击代码。
Lvovsky解释说:“加载程序从评论中提取这个字符串,对其进行解码,然后执行攻击,目的是窃取用户输入的个人信息。”
他说:“我们模拟了对不存在的路径的额外请求,所有这些请求都返回了相同的404错误页面,其中包含带有编码恶意代码的注释。这些检查确认攻击者成功更改了整个网站的默认错误页面,并在其中隐藏了恶意代码。”
Akamai发现了另外两种攻击变体,其中一种是将恶意加载程序代码隐藏在带有onerror属性的格式不正确的HTML图像标签中,另一种是将恶意加载程序代码隐藏在伪装成元像素代码的内联脚本中。后者是一个著名的Facebook访问者活动跟踪服务。
扫一扫
922
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
