安全是有分量的

DDOS高防服务_国盾云商城_秒解封

2022-06-23 05:40栏目:方案

DDOS高防服务_国盾云商城_秒解封

来自Greenworks硬件工具网站客户的支付卡数据目前正被黑客通过具有自我掩蔽功能和防篡改保护的恶意脚本窃取。

Greenworks为DIY用户分发家用和花园用电池供电的工具。其业务始于2007年,并在北美和欧洲扩张抓取卡数据和个人详细信息

电动工具分销商的主网站已被"高度复杂的自我清洁和自毁式略读器"破坏,类似奇安信的高防cdn,该略读器是一段代码,也称为支付卡略读器或MageCart脚本,用于在结账时复制客户卡数据并将其发送给攻击者。

6月8日,提供网站性能和安全监控服务的RapidSpike公司的研究人员在美国网站的greenworkstools[.]上发现了恶意代码com",带cc防御空间,在发布时仍处于活动状态。

输入到网站支付表单上的卡数据将登陆黑客位于"congolo[."的服务器pro'-出于匿名原因使用比特币加密货币购买的域名。

除了卡信息(号码、CVV、到期日),威胁行为人还窃取账户详细信息(用户名和密码)和个人客户数据(电话号码、送货地址)。

全部隐藏起来

与世界各地影响网上商店的其他网络浏览者不同,该样本具有一些特殊性,使得研究人员难以发现和分析。这些特性也使它从实现相同目标的脚本中脱颖而出。

在今天发表的研究中,RapidSpike说,攻击者通过在页脚中注入一个空元素,为整个签出页面创建了一个覆盖层。

研究人员说,当用户在页面上移动鼠标时,"onmouseover"事件会触发略读器这将确保自动安全工具不会对"onmouseover"事件做出反应,从而为其提供一些伪装。

另一种对调查人员隐藏恶意代码的策略是从DOM接口中删除恶意代码。当试图使用浏览器的开发人员控制台检查时,防御ddos工具,这会使其不可见。

2019年9月,Visa在一个名为Pipka的JavaScript略读器中发现了类似的技术,该略读器影响了北美至少16家商户。

尽管如此,躲避安全工具和研究人员并不是唯一的策略,正如RapidSpike在恶意代码中识别的,一个在试图篡改时激活的自毁程序。

脚本很模糊,研究人员通常会尝试通过插入或删除部分来修改脚本,以更好地了解脚本的功能以及如何实现其目标。

此检查可以通过使用脚本中的字符数来执行,就像解锁字符串的键一样。不同数量的字符将生成释放错误字符串的密钥。

自我销毁部分包含显示错误的代码,"销毁略读器并可能导致任何调查人员相信该代码不是恶意代码,因为它实际上不会做任何事情。"

根据公开数据,Greenworks Tools记录的游客流量从2月的45000人急剧增加到5月20日的350000人。无法获得已完成购买的数据,但可以放心地假设,自RapidSpike检测到撇钱器后的两天内,数千名客户可能已经拥有了他们的支付卡数据。

建议自6月8日开始购买的美国Greenworks Tools网站上的客户联系其银行并取消其支付卡。

研究人员联系了Greeenwoks工具公司,了解了折衷方案,但显然脚本仍在运行。BleepingComputer联系了该公司,云ddos防御,购买ddos防御,但在发布时没有收到回复。