• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:284

Feedify為線上網站提供推送通知服務。企業可以在其網站上嵌入Feedify JavaScript函式庫，在獲得用戶同意接收桌面通知的權限後。網站發布新內容時，即可以透過Feedify後端將通知推送給各自的用戶。

雖不若Feedify網站之聲稱該公司擁有超過4,000名客戶，然而使用PublicWWW服務進行的搜索顯示，此特定函式庫仍已嵌入在250到300個站點中。

推送通知服務Feedify近期成為Magecart的網路犯罪行為的最新受害者，最近被認定為Ticketmaster和英國航空公司駭侵行為背後的罪魁禍首。

根據化名「Placebo」的線上資安研究人員稱，該公司的一個JavaScript文件被惡意代碼感染，用以竊取信用卡的詳細資訊。Placebo的調查結果得到了RisqIQ資安研究員Yonathan Klijnsma和資安專家Kevin Beaumont的證實。

Magecart組織將惡意代碼添加到Feedify客戶嵌入其網站名為feedbackembad-min-1.0.js的檔案中。Klijnsma表示，透過RisqIQ的PassiveTotal平台獲得的資料使他的公司能夠記錄駭客何時更改該特定文件的內容。

Klijnsma表示從記錄發現，約2018年8月17日星期五@格林威治標準時間16:51:01開始受到Magecart的影響。資安研究員Placebo表示，他於9月11日通知Feedify，惡意代碼在同一天即被刪除。

但是在過了24小時內，同一個檔案遭到入侵和編輯，再次被攜帶Magecart代碼。在Feedify進行干預以刪除代碼後，Magecart內部人員第三次將其代碼重新添加到檔案中。

Feedify背後的駭客團隊Magecart自2015年以來保持活躍。前兩年，該集團主要針對Magento線上商店。他們會使用舊的漏洞入侵電子商務網站並放置收集信用卡詳細資訊的惡意代碼，這些代碼會將資訊傳送到他們自己的伺服器上。

該組織在2017年末和2018年初逐漸改變策略，將目標瞄向主要服務，尤其託管 Web 基礎設施。最著名的是當他們駭侵了Inbenta聊天服務並在無數網站上部署了竊取密碼的代碼以及Inbenta聊天小套件，其中最大的是Ticketmaster。

攻擊手法：Injection

參考連結：

https://www.zdnet.com/article/feedify-becomes-latest-victim-of-the-magecart-malware-campaign/
https://securityaffairs.co/wordpress/76239/cyber-crime/magecart-compromised-feedify.html
https://unwire.pro/2018/09/12/british-airways-breach-hackers-tactics-ticketmaster-uk/news/
https://twitter.com/ydklijnsma/status/1039605816737722368
https://twitter.com/Placebo52510486/status/1039585013057118209
https://github.com/gwillem/magento-malware-scanner/blob/master/corpus/frontend/magentocore.js
https://publicwww.com/websites/https%3A%2F%2Fmagentocore.net%2Fmage%2Fmage.js/