大规模网络钓鱼攻击窃取在线支付页面信用卡信息

网络安全研究人员发现了一起自2022年1月以来持续活跃的大型网络钓鱼攻击活动，该攻击专门针对美国运通、大来俱乐部、Discover、JCB株式会社、万事达卡和银联等多个主要支付网络。

Silent Push在今日发布的报告中表示："使用这些支付服务商的企业组织最有可能受到影响。"

数字钓鱼攻击是指一类客户端攻击，恶意行为者会入侵合法的电子商务网站和支付门户，注入恶意JavaScript代码，当毫无戒心的用户在结账页面尝试付款时，这些代码能够悄无声息地收集信用卡信息和其他个人信息。

这些攻击被归类为Magecart攻击的范畴。Magecart最初指的是一个网络犯罪集团联盟，专门针对使用Magento软件的电子商务网站，后来扩展到其他产品和平台。

Silent Push表示，他们在分析一个与现已被制裁的防弹托管服务提供商Stark Industries（及其母公司PQ.Hosting）相关的可疑域名时发现了这个攻击活动。该公司后来更名为THE[.]Hosting，目前由荷兰实体WorkTitans B.V.控制，这是一种规避制裁的措施。

涉案域名cdn-cookie[.]com被发现托管高度混淆的JavaScript载荷（例如"recorder.js"或"tab-gtm.js"），这些载荷被网店加载以实施信用卡信息窃取。

这个钓鱼程序具有规避网站管理员检测的功能。具体来说，它会检查文档对象模型（DOM）树中是否存在名为"wpadminbar"的元素，这是WordPress网站中当已登录管理员或具有适当权限的用户查看网站时出现的工具栏。

如果发现"wpadminbar"元素存在，钓鱼程序会启动自毁序列，从网页中删除自己的存在。每当网页的DOM被修改时（这是用户与页面交互时发生的标准行为），程序都会尝试执行钓鱼操作。

不仅如此，钓鱼程序还会检查是否选择了Stripe作为支付选项，如果是，它会查看浏览器的localStorage中是否存在名为"wc_cart_hash"的元素，程序会创建并将其设置为"true"，以表示该受害者已经成功被钓鱼过。

如果没有这个标志，钓鱼程序会渲染一个虚假的Stripe支付表单，通过用户界面操作替换合法表单，从而欺骗受害者输入他们的信用卡号码、有效期和卡片验证码（CVC）。

Silent Push表示："由于受害者将信用卡详细信息输入到虚假表单而不是真正的Stripe支付表单（该表单在他们最初填写时被钓鱼程序隐藏），支付页面会显示错误。这使得看起来好像受害者只是输入了错误的支付详细信息。"

钓鱼程序窃取的数据不仅限于支付详细信息，还包括姓名、电话号码、电子邮件地址和配送地址。这些信息最终通过HTTP POST请求被泄露到服务器"lasorie[.]com"。

数据传输完成后，钓鱼程序会从结账页面清除自己的痕迹，删除创建的虚假支付表单，恢复合法的Stripe输入表单。然后将"wc_cart_hash"设置为"true"，以防止钓鱼程序对同一受害者再次运行。

Silent Push表示："这个攻击者对WordPress的内部工作原理有深入了解，甚至将一些鲜为人知的功能整合到他们的攻击链中。"

Q&A

Q1：什么是数字钓鱼攻击？

A：数字钓鱼攻击是一类客户端攻击，恶意行为者会入侵合法的电子商务网站和支付门户，注入恶意JavaScript代码，当用户在结账页面尝试付款时，这些代码能够悄无声息地收集信用卡信息和其他个人信息。

Q2：这次攻击活动持续了多长时间，影响了哪些支付网络？

A：这次攻击活动自2022年1月以来一直持续活跃，专门针对美国运通、大来俱乐部、Discover、JCB株式会社、万事达卡和银联等多个主要支付网络，使用这些支付服务商的企业组织最有可能受到影响。

Q3：钓鱼程序如何避免被网站管理员发现？

A：钓鱼程序会检查网页中是否存在"wpadminbar"元素（WordPress管理员工具栏），如果发现管理员在线，程序会启动自毁序列并从网页中删除自己。此外，它还会创建虚假的Stripe支付表单替换真实表单来欺骗用户。