在NutriBullet网站上浏览代码可能会危及客户的信用卡数据

发布时间:2020-03-20

为了窃取客户的财务数据,Nutri子弹已经成为一系列Magecart受害者中的最新一例,他们在公司的域名上植入了清查代码。


研究星期三公布RiskIQ说,入侵事件是Magecart第8小组的工作,这是Magecart保护伞下的一个集体。


Magecart现在是一个通用术语。用于定义攻击使用JavaScript代码和网站漏洞在与在线购买相关的页面上放置清读器。在网上购物过程中,客户提交时,掠取代码会偷偷地吸收支付卡信息。


另见:财务公司通过开放式数据库泄露公司425 GB的客户数据。


然后,这些数据被转移到由攻击组控制的命令和控制(C2)服务器上,在那里可以批量出售或用于欺诈性购买。


根据RiskIQ研究人员YonathanKlijnsma的说法,Magecart skimmer代码最近在国际域名上被检测到,用于搅拌机制造商。


第一次发现是在2月20日,最初的脱脂器在3月1日之前被移除,但仅仅5天后,又安装了另一个脱脂器。猫和老鼠的游戏继续,RiskIQ迅速与AbuseCH和暗影服务器合作,以降低C2方便转移被盗的卡数据。


然而,在3月10日,发现了另一个替换的C2地址的撇码码。


外部帮助和删除与清查器连接的外部域是不够的,只要网站基础设施存在漏洞或弱点,攻击者就可以简单地部署新的恶意有效载荷来恢复犯罪活动。


CNET:冠状病毒下的选举:官员如何确保选民的安全


第一个skimmer针对所有NutriBullet页面使用的jQueryJavaScript库,并附加在库的底部。此特定代码示例已在200多个受损域中检测到,包括相同的Magecart组攻击的情况。美国睡眠与我的枕头2019年。


RiskIQ


第二个scimmer针对一个单独的资源,jQuery的一个子模块,而第三个在NutriBullet域的另一个脚本的顶部注入,main-build-8a9adc31.js。


TechRepublic:冠状病毒:商业专家需要知道什么?


在这篇博文被公开的时候,RiskIQ说它曾试图在三周内与NutriBullet联系,但没有得到任何回应。这家网络安全公司建议客户避免“因客户数据受到威胁而在网站上进行任何购买”。


更新格林尼治标准时间15.50该公司表示,该小组于3月17日开始工作,以遏制这一问题。


NutriBullet发言人告诉ZDNet,该公司“非常重视网络安全和个人隐私,致力于保护我们的客户”。


该公司补充说:“我们的IT团队今天早上(3/17/20)第一次从RiskIQ那里得知一个可能的漏洞后立即采取了行动。”“该公司的IT团队迅速识别并删除了恶意代码。我们已经启动了法医调查,以确定该代码是如何被泄露的,并更新了我们的安全政策和证书,以纳入多因素认证(MFA),作为进一步的预防措施。我们的团队将与外部网络安全专家密切合作,以防止进一步的入侵。我们感谢RiskIQ提醒我们注意这一问题。”


Magecart集团8倾向于在特定的目标上磨练,而不是使用“喷雾和祈祷”的方法。2019年,威胁集团以国家钻石交易所的网络基础设施为目标,通过破坏主后端,该组织能够感染多个本地域名。


Klijnsma说:“考虑到刷卡的利润丰厚,Magecart的攻击将继续发展,并以新的能力给安全研究人员带来惊喜。”“他们正在从过去的袭击中学习,保持领先一步,所以安全社区也应该这样做。”


ZDNet已经与NutriBullet取得联系,如果我们得到回复,将会更新。


中安威士:保护核心数据,捍卫网络安全


来源:外刊

上一条:TrueFire Guitar家教网站被黑,财务数据可能被泄露 下一条:Trident加密基金数据泄露:26.6万个密码被盗