Magento 信用卡偷竊者偽裝在標籤中

• Magento、WooCommerce 和 PrestaShop 等電子商務平台經常成為攻擊者竊取信用卡號的目標。注入這些網站的惡意軟體通常非常複雜，目的是無法被發現。
• 最近，客戶的 Magento 網站被發現感染了信用卡竊取惡意軟體，也稱為 MageCart。該惡意軟體將惡意內容隱藏在 <img>標籤內。

編碼標籤代碼

透過造訪受感染的網站、將商品新增至購物車並觀察結帳流程結束時的頁面原始碼（特別是送出信用卡詳細資訊的地方），可以發現惡意程式碼。大多數 MageCart 惡意軟體僅在結帳頁面上載入以避免被發現。<img> 標籤包含一個長字串，類似於引用圖像檔案路徑或 base64 編碼圖像的字串。然而，大量的 Base64 編碼內容並未引用實際的圖像檔案。雖然在<img> 標籤中使用 Base64 對於圖標等小圖像來說是合法的，但在這種情況下就會變得可疑，尤其是在結帳頁面上。<img> 標籤充當誘餌，其中惡意 JavaScript 隱藏在 base64 編碼資料中。

解碼標籤代碼

• 可以使用 base64decode.org 等線上工具對內容進行解碼。解碼後的Javascript會檢查使用者是否在結帳頁面，以及該Javascript是否尚未在目前工作階段中執行。確認後，它等待用戶的互動，例如點擊送出按鈕，並監視信用卡欄位的輸入。如果填寫了必填的信用卡欄位，則會呼叫 magictrick() 函數來收集敏感使用者資料並將其傳送到遠端伺服器。
• Javascript會動態地在頁面中插入惡意表單，以在不引起懷疑的情況下收集使用者的信用卡詳細資訊。表格包括卡號、有效期限和 CVV 欄位。Javascript監控付款方式內容部分，如果惡意表單不存在則插入惡意表單。函數 valixxcdy 處理表單輸入以僅允許數字字元，確保只接受信用卡號。
• magictrick() 函數收集信用卡資訊，對其進行編碼，然後將其發送到遠端伺服器。 sendMetric() 函數將編碼資料傳送到遠端伺服器。被盜的信用卡詳細資料儲存在該伺服器上並用於惡意目的。攻擊者透過將惡意Script編碼在 <img>標籤內來避免偵測，並確保最終使用者在插入惡意表單時不會注意到異常變化。

關鍵要點

• 電子商務信用卡盜刷惡意軟體（Magecart）通常比其他類型的惡意軟體更複雜且更難檢測。
• 惡意軟體可以隱藏在 <img> 標籤中。
• <img> 標籤內的 Base64 可能是合法的，但需要進一步調查，尤其是在結帳頁面上。
• 注入的信用卡表格可以在不被發現的情況下被整合。
• 並非網站上輸入的每個資訊都會到達您希望到達的地方。

緩解措施

隨著越來越多的企業轉向線上業務，信用卡失竊現象可能會增加。這會損害客戶的利益並嚴重損害企業主的聲譽，並可能導致網站被主要供應商標記或被搜尋引擎標記為惡意網站。以下為緩解措施:

• 保持網站軟體更新：監控來自供應商的軟體修補程式。
• 取得 Web 應用程式防火牆 (WAF)：防火牆可以幫助減輕惡意機器人的威脅、防止暴力攻擊並偵測攻擊。
• 強制所有帳戶（包括 sFTP、資料庫、cPanel 和管理員使用者）使用唯一的密碼。
• 刪除不再使用的 Magento 管理員使用者。
• 定期檢查儀表板中的 Magento 管理員使用者並刪除任何無法識別的使用者。
• 確保在 Magento 儀表板上啟用了 2FA。
• 停用訪客結帳：這要求訪客在送出付款詳細資訊之前登錄，這有助於減少自動攻擊。