前不久有人發(fā)我一個帖子,上面是 Adidas 運動鞋的特價消息和一個網(wǎng)站跳轉(zhuǎn)鏈接。
點擊鏈接,便進入了 Adidas 運動鞋“官方”網(wǎng)站,再一看價格,原價 2000 美元的鞋子竟然只要 134美元。
我毫不猶豫地拍下了這雙特價名牌鞋,并暗喜撿了個大便宜......就在這時,手機一震一條短信躍然屏上:你的信用卡已透支,透支金額為 100 萬元。
WTF !買降價鞋會讓信用卡透支?所以~節(jié)操無價的說法是真的嘍?
不,真相只有一個。
假冒偽劣秒變騙錢工具
隨著最新一波品牌熱潮的升溫,宅宅還找到了類似Off-White、Nike等多家品牌的帖子。
這些帖子無一例外,都是用降價銷售作為亮點,試圖將買家?guī)нM跳轉(zhuǎn)鏈接。乍看之下,這些網(wǎng)站似乎并無異常,但操作時就會發(fā)現(xiàn)有的地方與真實的品牌官網(wǎng)并非一致。
假冒運動鞋專賣店
隨著假冒球鞋網(wǎng)站如雨后春筍般涌現(xiàn),像這樣的“二手”網(wǎng)站并不少見,其在混淆視聽的情況下,也為希望低價滿足“穿名牌”的人們提供了 B 方案。
只是,相比正規(guī)官網(wǎng)這類網(wǎng)站不會建立完善的安全機制,以至于現(xiàn)在它們成為了黑客眼中的謀利神器。
研究人員稱,在最新發(fā)現(xiàn)的安全問題中,一些全球著名品牌的復刻版被黑客嘗試安裝了惡意的 Magecart 腳本,當購物者從假冒網(wǎng)站購買運動鞋時,他們在付款后不光不會得到運動鞋,反而會在付款的時候竊取信用卡信息。
吸引買家進假冒網(wǎng)站的論壇帖子
在黑客有意識的攻擊行為中,這一腳本至少被植入了上百個冒充名牌的欺詐網(wǎng)站。它可以竊取購買者提交的信用卡信息并將其發(fā)送到遠程服務(wù)器。
這些假冒網(wǎng)站通過各大名牌產(chǎn)品的交流社區(qū)、貼吧以及搜索引擎進行傳播,其中的降價消息、新品圖片都會根據(jù)不同平臺的特性和優(yōu)勢進行優(yōu)化,這為黑客提升了攻擊的成功率。
攻擊分析
根據(jù) Malwarebytes 的說法,黑客正在將一個名為 translate.js 的惡意腳本注入這些運動鞋網(wǎng)站。在檢查了站點結(jié)帳頁面的源代碼之后,可以看到一個名為 /js/mage/translate.js 的 JavaScript 文件,如下所示。
注入了 translate.js 腳本
乍一看,此腳本似乎屬于 Magento 電子商務(wù)平臺,該平臺用于創(chuàng)建假冒運動鞋網(wǎng)站。但是,如果仔細觀察,可以發(fā)現(xiàn)混淆的 JavaScript 已添加到 Magento 腳本的底部。
植入的Magento腳本
通過 JS 美化器運行 JavaScript 后,我們可以看到該腳本正在收集購物者提交的信用卡信息,然后將其發(fā)送到位于 http://103.139.11.34 的站點。然后,攻擊者即可收集這些被盜的信用卡信息。
在分析了所有被破壞的站點之后, Malwarebytes 威脅情報研究人員 Jér?meSegura 發(fā)現(xiàn)了所有站點具有的共同點:
它們都使用過時的 PHP 編程語言版本和 Magento 運行類似的模板,并且位于少數(shù) IP 地址子網(wǎng)中。
受感染網(wǎng)站的部分列表
因此, Malwarebytes 認為攻擊者進行了大規(guī)模掃描,尋找容易受到攻擊的網(wǎng)站(可能是運行 Magento 或過時的 PHP 版本的網(wǎng)站),并利用這些偽造的運動鞋網(wǎng)站謀利。
Jér?meSegura稱,我認為這是一臺自動掃描儀,它恰好能抓取這些 IP 范圍,而且因為所有站點之間幾乎都是彼此的副本(而且都已過時),所以工作量并不大。
如果你最近在一個陌生的網(wǎng)站(或者其他途徑的“官網(wǎng)”)上購買了運動鞋,則可能需要查看 Malwarebytes 的博客以確認受感染店鋪的完整列表。