Check Point安全研究人员Marcel Afrahim于本周披露,云计算电子商务平台Volusion的基础设施遭到黑客入侵,让黑客得以在Volusion的结账页面上动态注入恶意程序,以窃取消费者所输入的银行卡信息,可能波及超过6,500个Volusion客户。
Afrahim一开始是在芝麻街(Sesame Street)的官方线上商店sesamestreetlivestore.com上发现异样,它被嵌入了vnav.js,以自Google云计算存储动态加载另一个恶意的JavaScript文件,而这也是该站唯一一个并非来自sesamestreetlivestore.com或volusion.com的文件。
分析显示,该恶意JavaScript文件的主要目的,就是窃取消费者于结账页面上所输入的支付卡信息,且最后修改日期为今年的9月12日,意味着消费者的刷卡数据至少从9月中旬就开始被黑客接收。
由于芝麻街为Volusion的客户,因此当Afrahim发现此事时,怀疑应有其它的Volusion客户受害,于是搜索了vnav.js,发现有6,593个网页含有该脚本程序,可能全是受害者。
不管是Afrahim或其它媒体都猜测,这很可能是恶名昭彰的Magecart黑客集团所为。Magecart黑客集团专门在电子商务网站上植入盗卡程序,而且近来专挑大型企业、校园网络商店,或者是类似Volusion的供应链下手,包括英国航空British Airline、售票网站Ticketmaster或电商平台Newegg,都曾是Magecart的受害者。
根据RiskIQ的统计,Magecart入侵后的平均停留时间为22天,有些甚至长达数年才被发现,开源的Magento或OpenCart购物平台,早就是许多Magecart黑客的命脉,光是在Magecart平台上就侦测到超过9,000个被植入盗卡程序的网站,且全球存在着573个属于Magecart集团的命令暨控制服务器,透露出其组织之庞大。