• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:230

繼英國航空公司和Feedify漏洞事件後，其背後MageCart的專用以竊取信用卡的惡意腳本再次發動侵襲，這次是針對最大的線上電子零售商之一的Newegg。

Newegg是一個相當知名的電子零售商，2016年的業務規模為26.5億美元，由於Newegg是電子組件、電腦和硬體領域最大的線上零售商之一，受此漏洞影響的受害者數量可能非常龐大。

資安研究員Yonathan Klijnsma在RiskIQ博客文章中在這一波攻擊指出，Alexa網站排名顯示，Newegg在美國名列第161名最受歡迎的網站，Newegg估計每月接待超過5000萬訪客，在整整一個月的瀏覽過程中，可以假設這次駭侵事件影響受害者人數規模相當大。

根據Volexity和RiskIQ的聯合分析，Magecart駭客組織設法滲透到Newegg網站並竊取了在2018年8月14日至9月18日期間輸入信用卡資料的所有客戶的信用卡詳細資訊。

Veloxity在他們的報告中表示，透過其全球感測器(Sensor)網路，在2018年8月16日三天後在Newegg網站確認攻擊。基於從其感測器網路獲得的資料，攻擊者有可能提前開始。

RisqIQ和Volexity發布兩份報告詳細說明MageCart腳本如何在一個多月的時間內注入Newegg網站，同時悄悄竊取客戶的付款資訊。

根據報導，攻擊者於8月13日註冊了一個名為neweggstats[.]com的網域名稱。類似於Newegg的合法網域名稱newegg[.]com，並獲得了Comodo為其網站發布的網域名稱SSL憑證。

一天後，該組織將竊取資料的腳本代碼注入Newegg網站的付款處理頁面，攻擊者建立之neweggstats[.]com被用作收集從Newegg網站竊取的信用卡詳細資訊的儲存網站。 Veloxity進一步表示，這些攻擊於8月16日左右在Newegg的網站上發起。

當用戶在Newegg購買商品時，他們會被要求輸入他們的送貨資訊，然後繼續到他們輸入付款資訊的第二頁。在結帳流程的第二頁，Newegg從客戶收集付款資訊，注入了15行的MageCart腳本。

當頁面加載時，腳本會將自己綁定到用戶輸入信用卡詳細資訊後按下的按鈕。按下此按鈕時，腳本將獲取表單的內容，將其轉換為JSON，然後將其上載到https://neweggstats[.]com/GlobalData/的網頁。

當然這個neweggstats.com網站並不歸Newegg所有，而是由攻擊者操作。這使得他們可以竊取在網站遭到駭客攻擊的月份內從Newegg購買商品的客戶的信用卡詳細資訊。然而對於用戶而言，完全不得而知其駭侵行為，就像沒有發生任何事情一樣。

Klijnsma在推特上發布了一些可以使像MageCart這樣的腳本較難竊取付款細節的付款表單和提交流程的配置方法。

Newegg已經開始向他們的客戶發送電子郵件，為駭侵事件道歉並解釋發生的事情。根據Newegg Danny Lee發送的電子郵件，該公司將建立一個關於此駭侵事件的常見問題解答，並在9/21之前將其發佈在他們的網站上。

參考連結：

https://www.bleepingcomputer.com/news/security/newegg-credit-card-info-stolen-for-a-month-by-injected-magecart-script/
https://thehackernews.com/2018/09/newegg-credit-card-hack.html
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg/
https://www.riskiq.com/blog/labs/magecart-newegg/
https://twitter.com/ydklijnsma/status/1042463653121814528