自2019年以来,趋势科技的研究人员一直在追踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。
但是,自2020年初以来,研究人员注意到Water Pamola的活动发生了一些变化。现在,受害者主要只在日本境内。最近的跟踪数据表明,攻击不再通过垃圾邮件发起。相反,当管理员在其在线商店的管理面板中查看客户订单时,就会执行恶意脚本。
Water Pamola攻击链
在进一步搜索后,研究人员注意到一家在线商店管理员询问了一个奇怪的在线订单,该订单包含通常会在客户地址或公司名称所在的字段中插入的JavaScript代码。该脚本很可能是通过利用该商店的管理门户中的跨网站脚本(XSS)漏洞来激活的。
在论坛上提出的问题,其中显示了与Pamola水有关的有效载荷
上面是论坛中文本的屏幕截图,由Google翻译为“问题”,其中的某个命令似乎是一个恶作剧的命令,地址和公司名称中包含以下字符。
该脚本连接到Water Pamola的服务器,并下载其他有效载荷。综上所述,这使研究人员相信Water Pamola会使用此嵌入式XSS脚本在许多目标在线商店下订单。如果它们容易受到XSS攻击,它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。
研究人员收集了许多攻击脚本,它们已传播给不同的目标。脚本执行的恶意行为包括页面获取、凭据网络钓鱼、Web Shell感染和恶意软件传播。
此活动似乎是出于经济动机,在至少一个实例中,Water Pamola后来遭到攻击的网站透漏他们遭受了数据泄漏。他们的服务器被非法访问,包括姓名、信用卡号、到期日期和信用卡安全码在内的个人信息可能被泄漏。此攻击行为可能与Water Pamola有关,它暗示此攻击活动的最终目标是窃取信用卡数据(类似于Magecart攻击活动)。
XSS攻击分析
如上所述,Water Pamola发送了带有恶意XSS脚本的在线购物订单,以攻击电子商务网站的管理员。
值得一提的是,它们并不是针对特定的电子商务框架,而是针对整个电子商务系统。如果商店的电子商务系统容易受到XSS攻击,那么一旦有人(如系统管理员或商店员工)打开订单,就会在商家的管理面板上加载并执行恶意脚本。
这些脚本使用名为“XSS.ME”的XSS攻击框架进行管理,该框架可帮助攻击者处理其攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛中被共享。该框架提供的基本攻击脚本可以报告受害者的位置和浏览器Cookie。研究人员观察到攻击期间使用的脚本是自定义的。攻
扫一扫
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
