本帖最后由 zhaorong 于 2019-1-9 16:04 编辑



美国厨具制造商OXO International近日披露一个跨越长达两年的数据泄露，研究人员认为是遭到了MageCart攻击
MageCart一直是众多电商网站一颗拔不掉的刺，英国航空公司门票销售门户特马捷（TicketMaster）、消费电子产
品巨头Newegg、以及Feedify等都不堪其扰。

MageCart 攻击是使用已知的服务器漏洞进入网站注入卡片支付代码并在攻击者控制的服务器上提取信用卡号
名称和安全码，通常一次持续数月。




研究人员Yonathan Klijnsma一直追踪此类攻击。其表示主要有六个组织从事此类攻击：第1组最早从2014年开始
针对上千个网站和托管恶意软件、存储收集数据的一次性服务器；第2组和第3组拓展了其攻击范围，是针对支付提
供商；第4组利用分散的方法取得了超过3000个被黑客攻击网站中获取尽可能多的卡片信息；第5组是通过点击第三
方代码提供商（如客户服务聊天框）进行供应链攻击，这些代码提供商安装在数千个站点上，携带恶意软件；第6组
为高度选择性的攻击，仅针对主要参与者，如英国航空公司和消费电子产品巨头Newegg等。

OXO International在加利福尼亚州数据泄露通知中表示在2017年6月9日-11月28日、2018年6月8日-2018年
6月9日及2018年7月20日-10月16日期间，其服务器遭泄露，攻击者的目标是得到客户和支付等信息，研究人
员发现至少有一次攻击为试图窃取客户信息的MageCart 攻击。



此次攻击中，攻击者向网站结账页面注入脚本目的是窃取客户填写在页面表格里的如信用卡详情
和地址等数据，而后发送到一个远程网站上，再由攻击者进行管理。

2017年6月9日 Archive.org snapshot 结账页面的源代码显示一个JavaScript 脚本从https://js-cloud.
com/js/static.js上加载到了页面。




该脚本目前已不复存在，研究人员是在 VirusTotal上面将其找到在检查该脚本内容时可看到这是个 MageCart脚本
专为窃取oxo.com客户的支付和联系信息而设。

如下图所示，该表的目的是为窃取信用卡信息和客户信息，如账单地址、邮箱和电话号等。







信息收集好后，会发往远程URLhttps://js-cloud.com/gate.php上面攻击者可用来检索数据。




其他泄露指标

研究人员在Archive.today 上还发现了另一张oxo.com网站2018年12月12日的截图其源代码显示的是
俄罗斯https://top.mail.ru/ 网站的追踪服务被加到了该结账页面中。




一个美国的公司，虽说不犯法，但不用谷歌分析转而使用俄罗斯分析服务真的不会很怪吗？
且该脚本允许任何有Top.mail.ru的人都能了解oxo.com 网站访问者的信息。