黑客将Magecart攻击恶意代码注入路由器

关注 2019-09-26 06:20:18 查看数 8759 ,评论数 0 资讯 IoT安全


IBM安全研究人员又发现了Magecart攻击的新玩法:将创建的恶意脚本部署在商业级“第7层”路由器上。


Magecart攻击也叫网络浏览,是互联网欺诈的一种形式,通过破坏第三方脚本服务、窃取支付信息并将恶意软件注入到该页面时,支付页面就会受到威胁。进行这些攻击的犯罪团伙不仅能从访问者处窃取数据,还能从网站管理员那边窃取数据,专门用来进行Magecart攻击的代码不仅能在网页里、隐藏在JavaScript或是PHP脚本文件上分发。而现在,这些Magecart攻击又升级了,恶意代码可直接在路由器的级别注入,根本不需要在网站上注入了。


什么是L7路由器


第七层路由器是一种商用、重型路由器,通常安装在大型网络如宾馆、商场、机场、赌场、政府网络、公共空间等场所。其工作原理与其他路由器没什么不同,只是能在开放系统互连模型(OSI模型)的第七层(应用层)操控流量,可以不只是基于IP地址(如Cookies、域名、浏览器类型等对流量做出反应。


根据IBM X-Force事件反应与情报服务小组(IRIS)的研究报告称,一个已知的黑客组织已经在测试将Magecart攻击脚本部署在L7路由器上的证据,思路是先将L7路由器感染,再用其强大的流量操控特性,在用户的动态浏览器会话中注入恶意脚本。


研究人员称其发现的脚本是特别为从在网点提取支付卡数据而设,之后再将所窃信息上传到远程Web服务器上,脚本文件是研究人员在VirusTotal系统平台发现。VirusTotal是一个基于Web的杀毒聚合器,而这些脚本被上传在了该平台上面。脚本一共有17个,基于不同的目的,研究人员将其分为五组。


“路由器文件测试”背后的已知黑客组织


研究人员称这17个文件代码的域和其他指标与已知黑客组织Magecart#5相关,其参与攻击过IT公司,并在其产品中植入了卡片窃取代码,还使用CDN(内容分发网络)和广告分发恶意代码。


这种类型的攻击就是Magecart攻击了,该攻击已经存在至少三年,但去年开始成为了新的流行趋势。位于美国加州的网络安全公司RiskIQ威胁研究负责人Yonathan Klijnsma称,Magecart#5是该公司所追踪到的最复杂的黑客组织。


测试文件是否在用尚不得而知


IBM IRIS研究人员称该组织的测试脚本是在4月11至14日之间上传到了VirusTotal上,但现在还不能确定黑客是否将其部署在了路由器上。据IBM的研究人员表示,该组织一直忙于在美国和中国的线上商铺窃取卡片数据,当然,他们也会顺带将已经在路由器上植入过恶意脚本的商铺作为目标。


从用户的角度上来讲,这种Magecart攻击的受害人只能是任人宰割,因为他们也做不了什么,毕竟是路由器级别,也就是不在不熟悉的公共网络(酒店、机场、商场)上网购,仅此而已。但在家购物就能避免Magecart攻击了吗?Naive了吧?家里还有网页级恶意代码注入呀。


研究人员给出的预防方案是使用虚拟卡片服务,使用这种卡片的用户可临时获取卡号,一次交易后便可作废。这样一来,即便卡号被窃取,这些过期卡号对黑客来说也没用处了,但这种服务不是每个国家都有的。


Magecart攻击进化到了在路由器上注入代码这一步了,但这对研究人员来说已经不足为奇,因为过去十多年来,路由器一直也是攻击的目标,也有用来重定向钓鱼链接、恶意下载或注入加密攻击脚本、注入恶意广告等等,只是这一次又加上了个Magecart攻击而已。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...