黑客组织用假谷歌域名来进行网络攻击

7月27日消息，安全人员发现，攻击者使用伪造的Google域名，借助国际化域名（IDN）来托管和加载支持多个支付网关的Magecart信用卡侧录器脚本。该网站的所有者将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击，Sucuri安全人员在仔细研究后发现该罪魁祸首是基于JavaScript的支付卡侧录器注入该网站。

使用IDN来伪装托管恶意内容的服务器是在网络钓鱼攻击期间采用的一种障眼法，这种方式可以隐藏来自恶意域的流量作为从合法站点传递的数据包。“我们的调查显示该网站感染了一个信用卡侧录器，从恶意国际化域google-analytcs[。] com（或ASCII中的xn-google-analytcs-xpb [。] com）加载JavaScript，”Sucuri的研究团队发现。

据悉，攻击者注入的卡片略读脚本使用加载的JavaScript，使用document.getElementsByTagName捕获任何输入数据，并使用输入或存储的元素名称捕获下拉菜单数据。

其特殊之处在于，如果它在访问者的Chrome或Firefox网络浏览器中检测到开发者工具面板已打开，它将自动改变其行为。如果此检查具有肯定结果，则分离器脚本将不会将其捕获的任何数据发送到其命令和控制（C2）服务器以避免检测。

以上行为，被一个名为Magecart的黑客组织使用。正如安全人员分析中发现的那样，这个Magecart侧录器脚本可能会将它连接到Sanguine Security研究员Willem de Groot几个月前发现的另一个类似的恶意工具。在多线程加载器的帮助下，在被攻陷的在线商店注入之后，发现的卡片浏览脚本de Groot能够从世界各地收集50多个不同的支付网关。显然，仅凭个人无法如此详细地研究所有这些本地化支付系统，”De Groot当时表示。

侧录器Sucuri使用另一个欺骗性的Google域名来提供截取的付款信息，攻击者使用google [。] ssl [。] lnfo [。] cc IDN作为他们的exfiltration服务器。Magecart黑客组织是一支自2015年以来一直存在的高度动态和有效的网络犯罪团体，他们的活动在四年后一如既往地活跃。

它们代表了一种不断发展的网络威胁，这种威胁一直是针对像Amerisleep和MyPillow这样的小型零售商以及TIcketmaster，BriTIsh Airways，OXO和Newegg等知名国际公司的攻击。7月初，Magento安全研究公司Sanguine Security发现了一项大规模支付卡侧取活动，成功突破了962家电子商务商店。

5月份，Magecart集团成功地在美国和加拿大数百家在线校园商店的PrismWeb支持的结账页面中注入了支付卡侧读脚本。Malwarebytes安全研究员JérmeSegura发现，在同一个月晚些时候，使用升级的信用卡窃取程序脚本设计使用基于iframe的网络钓鱼系统时，也与Magecart有关。