这场活动最危险的地方,在于其窃取数据的手段极其隐蔽:当受害者在伪造的支付页面输入个人信息并提交时,数据会先被加密,然后直接发送给犯罪团伙控制的服务器。
网络安全研究人员发现了一起长期活跃的大规模网络窃密活动,它专门针对零售电商网站的结账页面,悄无声息地盗取毫无防备的消费者的信用卡信息。这项被称作“Magecart”的复杂攻击行动至少从2024年1月就已开始活跃,通过入侵电商网站,来拦截流向美国运通、万事达和发现卡等主流支付网络的交易信息。
攻击手法剖析
这一发现源自Silent Push的主动防御分析团队,他们识别出一个支撑了这场长达数年诈骗活动的庞大恶意域名网络。攻击本质上是一种数字障眼法——威胁分子在入侵使用WooCommerce和Stripe系统的电商网站后,会植入恶意的JavaScript代码。这些代码会潜伏下来,直到用户访问结账页面时才被激活。
研究报告指出,恶意软件“会确保隐藏掉合法的Stripe支付表单”,并用“一个恶意iframe取而代之,其中渲染了具有合法外观变量名、标题和样式的伪造版Stripe支付表单”。由于伪造表单完美模仿了真实版本(甚至包含葡萄牙语等本地化支持),消费者毫无察觉。
隐蔽的数据窃取机制
此次行动的阴险之处在于其数据窃取流程:当受害者在虚假表单中输入信息并提交时,数据会被加密并外泄至犯罪服务器。随后恶意软件立即清除痕迹——移除伪造表单、恢复真实表单,并模拟点击“提交订单”按钮。由于此时真实表单为空(用户填写的是虚假版本),网站便会显示支付失败。
分析人员解释道:“购物者会误以为自己输错了支付信息,完全意识不到已遭窃取。他们会重新输入凭证以完成交易。”恶意代码作者还采用MutationObserver监控网页变化,确保仅在完美条件下触发,并包含自毁机制:当检测到DOM中存在wpadminbar元素(管理员登录状态)时,代码会自动移除,使所有者难以在常规检查中发现感染迹象。
庞大的攻击基础设施
该活动的基础设施极为稳固,采用“防弹”托管来保持命令控制服务器在线。攻击目标覆盖美国运通、大来卡、发现卡、JCB、万事达和银联这六大支付服务商,潜在受害者规模巨大。报告强调“该威胁团伙展现出极强的持久作战能力”,这场攻击活动已持续数年,最早可追溯至2024年初。
