某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/05/27 10:09:46 528
文章来源:https://www.huorong.cn/info/1558764942218.html

       近日,火绒收到某境外电商网站求助,其网站页面遭遇不明攻击。火绒团队远程分析后,发现该电商网站所使用的jQuery脚本遭遇“挂马”,并被植入恶意代码,可盗取网站内用户信用卡卡号,包括Visa、百事达、Discover、美国运通等主流信用卡。

1.png

       火绒工程师分析,病毒通过jQuery脚本传播。一旦激活带毒脚本,用户打开网站页面后,就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号,然后发送至指定的C&C服务器中。由于jQuery脚本在Web前端开发时极为常用,所以该恶意代码会威胁到整个网站的Web交互页面。<o:p></o:p>

alt 

2.png

       火绒团队提醒广大相关网站管理者,以及近期需要登录电商、银行等各类交易平台的用户,请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒,此外,也可以使用“火绒安全软件5.0版”新增的“Web扫描”功能(默认开启),该功能可帮助用户在登录网站时,检测、识别网络数据的潜在威胁。 

附【分析报告】:<o:p></o:p>

一、代码分析<o:p></o:p>

        近期,火绒接到某境外网站求助,其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后,会在当前页面的指定Web控件中获取信用卡号,最后将信用卡信息发送至C&C服务器(hxxps://ww1-filecloud.com)。被黑客收集的信用卡号包括:Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用,所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例,如下图所示:<o:p></o:p>

alt 

3.png

被植入的部分恶意代码<o:p></o:p>

        一旦带毒的jQuery代码被加载,在页面加载完毕后500毫秒,即会执行恶意代码。代码执行后,会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号,最终发送至C&C服务器中。反混淆后的相关代码,如下图所示:

4.png 

用来匹配信用卡号的正则表达式,如下图所示:

5.png

用于匹配信用卡号的正则表达式

二、附录<o:p></o:p>

文中涉及样本SHA256:<o:p></o:p>


6.png


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室