欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

国家棒球名人堂网站被植入信息窃取脚本

来源:本站整理 作者:佚名 时间:2019-08-12 TAG: 我要投稿


位于纽约州库珀斯敦的国家棒球名人堂的网站被黑客入侵,其中包括了一个恶意的MageCart脚本,该脚本窃取了在网站上购买商品的客户的支付信息。
根据加州安全漏洞通知服务提交的通知,美国国家棒球名人堂网站在2018年11月15日至2019年5月14日期间向其在线商店注入了恶意脚本。
国家棒球名人堂(“名人堂”)重视并尊重您的信息隐私,这就是为什么我们写信通知您,最近可能涉及您的一些个人信息的事件。
通知提醒受影响的用户,
2019年6月18日,我们了解到您的一些信息可能是由未经授权的第三方获取的,该第三方将恶意计算机代码放置在名人堂网站商店(shop.baseballhall.org)电子商务系统上。该代码可能针对在2018年11月15日至2019年5月14日期间通过网上商店购买信用卡的客户的某些个人信息。
可能被窃取的信息包括客户的姓名、地址和信用卡或借记卡信息,包括CVV代码。应该注意的是,这次攻击只影响了从网站购买物品的顾客,而不是博物馆本身。您从国家棒球名人堂网站(https://baseballhall.org/)购买任何物品,都应向您的信用卡公司报告情况,并监控您的声明是否存在欺诈购买行为。
MageCart攻击窃取的付款信息
攻击者获得了进入名人堂网站的访问权限以后,在网站上注入了一个恶意脚本,这个恶意脚本用于监控提交的付款信息,然后将其转发给攻击者。虽然该网站上的脚本不再处于活动状态,但BleepingComputer能够在Archive.org上的快照中找到该代码。从下图中可以看出,攻击者乍看之下插入的是Google Analytics脚本。 但是,如果您仔细观察,则会从www.googletagstorage.com上读取相关脚本。

虽然域表明它属于谷歌,但www.googletagstorage.com实际上并没有注册到它们,而是解析为位于立陶宛的一个IP地址。在过去的其他攻击中也使用过相同的主机,如AlienVault上的IOCs和IBM的Xforce Exchange。该脚本的构建看起来像一个合法的谷歌分析脚本,但是如果您分析它,您可以看到它正在监视商店的账单表单,该表单的ID为“co-billing-form”。

虽然没有确认这是同一组,但此攻击中使用的方法类似于之前在RiskIQ报告中描述的MageCart Group 4。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载