行业新闻与博客

Magecart 集团通过在混合机制造商 NutriBullet 的网站上放置了一个撇渣器，恢复了其活动。

根据 RiskIQ 的说法，该组被标识为 Magecart 组 8，RiskIQ 能够在发生攻击时及时将其捕获。RiskIQ 威胁研究负责人 Yonathan Klijnsma 说：“第 8 组运营商正在使用该域来接收被盗的信用卡信息，并且该域的删除阻止了新的受害者的到来。”

根据 3月5 日的一份咨询报告， 攻击者将撇渣器放置在网站上，并于 3月10日返回以放置新的撇渣器，因为“犯罪分子仍然可以访问 NutriBullet 的基础结构，并且可以继续替换代码中的撇渣器域以使其正常工作再次。”

这是在 2月20日最初的妥协之后，分离器针对的是 jQuery JavaScript 库。RiskIQ 表示，第 8 组至少从 2018年开始使用这种撇油器，而第 8 组自 2016年以来一直活跃，并且据报道在 2018年损害了 Amerisleep，MyPillow 和菲律宾广播公司 ABS-CBN。

RiskIQ 表示，第 8 组的首选策略是将重点放在单个受害者上，而不是更广泛的攻击。

分离器通过检查浏览器当前所在的页面是否看起来像付款页面来工作，并设置前四个变量以确保它正在分析正确的字段和正确的浏览按钮。在定义了这些变量并检查了浏览器的位置之后，略读代码的顶部将捕获字段值（包括从较早定义的变量确定的某些字段名称 / ID），并将所有数据放在一起。然后，撇取器将这些数据转换成一个长文本字符串，然后将其加密，然后再发送给犯罪分子拥有的服务器。

Klijnsma 说：“到目前为止，我们已经在 200 多个受害域上观察到了这种分离器代码，并确定了 88 个由演员拥有的独特域。”

RiskIQ 任命了合作伙伴 AbuseCH 和 ShadowServer，后者协助阻止了站点上的主动撇取行为，但对 NutriBullet 缺乏响应表示批评。Klijnsma 说，事件发生后不到 24 小时，RiskIQ 研究人员就通过其支持渠道与 NutriBullet 领导层联系了 NutriBullet，并在接下来的三周内继续进行了宣传。

Klijnsma 说：“截至本博客发布之日，我们与 NutriBullet 进行交流的尝试尚未得到答复。折衷方案仍在进行中，即使 NutriBullet 开展广告活动以吸引更多客户，信用卡数据仍可能会被剥夺。

“该公司继续忽略我们的沟通和帮助，从而使客户面临风险。在 NutriBullet 确认我们的服务并进行清理之前，我们强烈建议您不要在网站上进行任何购买，因为这样会危及客户数据。”

Javvad 马利克，在安全意识倡导 KnowBe4，说：“这家网站已经被入侵三次在几个星期内，这一事实将表明某种潜在的缺陷，需要紧急处理。”

本文由机器译制：https://www.infosecurity-magazine.com/news/nutribullet-magecart-skimmer/