Magecart运营商修改了一种流行的信用卡撇取器,使其仅针对移动用户,因为消费者更多地通过智能手机而不是计算机进行在线购物。根据新的报告从RiskIQ,国米撇油器套件是最常见的数字略读全球解决方案之一。自 2018 年底以来,几组不同的网络分子已经使用 Inter 工具包窃取支付数据,它影响了全球数千个网站和消费者。
去年三月,国际米兰的新修改版出现在网上。然而,Magecart 运营商对其进行了更多修改,以创建仅关注移动用户并针对他们的登录凭据和支付数据的 MobileInter。
虽然 MobileInter 的第一次迭代从GitHub 存储库下载了隐藏在图像中的渗漏 URL,但新版本在撇取器代码本身中包含渗漏 URL,并使用 WebSockets 进行数据渗漏。MobileInter 还滥用模仿搜索巨头的谷歌跟踪服务和域名来伪装自己及其基础设施。
由于 MobileInter 只针对移动用户,重新设计的撇取器会执行各种检查,以确保它可以撇取在移动设备上进行的交易。
浏览器首先对窗口位置执行正则表达式检查以确定它是否在结帐页面上,但这种检查也可以查明用户的 userAgent 是否设置为多个移动浏览器之一。MobileInter还会检查浏览器窗口的尺寸,以查看它们是否是与移动浏览器关联的尺寸。
在这些检查通过后,撇取器使用其他几个函数执行其数据撇取和渗漏。其中一些功能的名称可能会被误认为是合法服务,以避免被检测到。例如,一个名为 'rumbleSpeed' 的函数用于确定尝试数据泄露的频率,尽管它旨在与 jQuery 的 jRumble 插件混合,该插件“隆隆声”网页元素以使用户专注于它们。
RiskIQ 还发现 MobileInter 以其他方式伪装其运营。自从该公司开始跟踪 Magecart 以来,它已经观察到威胁行为者将他们的域伪装成合法服务。尽管 RiskIQ 的与 MobileInter 相关的域列表非常广泛,但很多都模仿了阿里巴巴、亚马逊和 jQuery。
尽管信用卡撇取器最初出现在现实世界中的加油站和其他用户可以刷卡支付的地方,但它们很快就在网上找到了自己的方式,现在已经在移动设备上站稳了脚跟。
标签: Magecart撇渣器
