近期研究人员透露了正在进行的信用卡黑客活动的细节，该活动目前正在窃取访问105多个电子商务网站的客户的支付卡信息。

在监控恶意域名（www.magento-analytics[.]com）的过程中，研究人员发现，在过去的七个月中，攻击者一直在向数百个在线购物网站注入托管在该域上的恶意JS脚本。

所讨论的javascript脚本包括数字信用卡略读代码，当在站点上执行时，会自动窃取客户输入的信用卡所有者姓名、信用卡号码、到期时间、CVV信息等支付卡信息。

在一次电子邮件采访中，Netlab的研究人员告诉《黑客新闻》，他们没有足够的数据来确定黑客是如何首先感染受影响的网站，或者他们利用了哪些漏洞，但确认所有受影响的购物网站都在运行Magento电子商务CMS软件。

进一步分析表明，恶意脚本随后会将被盗的支付卡数据发送到由攻击者控制的magento analytics[.]com服务器上托管的另一个文件。

“以一个受害者为例，www.kings2.com，当用户加载其主页时，JS也会运行。研究人员在今天发表的一篇博文中解释说，如果用户选择了一种产品，并前往“支付信息”提交信用卡信息，在输入CVV数据后，信用卡信息将被上传。

这项活动背后的组织所使用的技术并不是新的，与臭名昭著的麦哲卡信用卡黑客组织在最近数百次攻击中使用的技术完全相同，包括Ticketmaster、英国航空公司和Newegg。

然而，netlab的研究人员并没有明确地将这次攻击与任何一个magecart组联系起来。

另外，不要与域名-www.magento-analytics[.]com混淆。

域名中包含magento并不意味着恶意域名与流行的magento电子商务CMS平台有任何关联；相反，攻击者使用此关键字来伪装其活动并混淆常规用户。

根据研究人员的说法，在该活动中使用的恶意域名在巴拿马注册，然而，最近几个月，IP地址从“美国，亚利桑那州”移动到“俄罗斯，莫斯科”，然后转到“中国，香港”。

虽然研究人员发现恶意域名窃取信用卡信息已经至少五个月了，共有105个网站已经感染了恶意JS，但他们相信这个数字可能会高于他们的雷达上显示的数字。

就在昨天，一个用户在一个论坛上发布了他的magento网站最近也被黑客入侵的消息，攻击者秘密地从同一个域注入了一个信用卡窃取脚本，显然是一个独立的变体。

由于攻击者通常利用在线电子商务软件中的已知漏洞注入恶意脚本，因此强烈建议网站管理员遵循最佳安全做法，例如应用最新更新和补丁、限制关键系统的权限和强化Web服务器。

网站管理员还建议利用内容安全策略（CSP），该策略有效地允许对网站上允许加载的资源进行严格控制。

同时，网上购物者也被建议定期检查他们的信用卡和银行对账单中是否有任何不熟悉的活动。无论你发现多少未经授权的小交易，你都应该立即向你的银行报告。

参考链接：https://thehackernews.com/2019/05/magento-credit-card-hacking.html

原文链接：http://toutiao.secjia.com/article/page?topid=111512