首页 > 安全 > 正文

Microsoft警告新的高度回避网络掠夺活动

最后更新 :2022.05.24

Web掠夺活动背后的威胁参与者正在使用恶意JavaScript来模仿Google Analytics(分析)和Meta Pixel脚本,以避免检测。

Microsoft安全研究人员最近观察到了使用多个obfuScation技术的Web浏览活动,以避免检测。

威胁参与者通过将其编码在PHP中来混淆浏览脚本,然后将其嵌入到图像文件中,使用此技巧,当加载网站的索引页面时,执行了代码。

专家还观察到了被折衷的Web应用程序注入了恶意的JavaScript伪装成Google Analytics(分析)和Meta Pixel(以前是Facebook Pixel)脚本。一些掠夺脚本还包括反欺骗机制。

术语浏览术语是指在结帐期间收获网站访问者的付款信息的犯罪惯例。骗子用来利用电子商务平台和CMS中的漏洞将撇油脚本注入E商店的页面。在某些情况下,攻击者可以利用安装的第三方插件和主题中的漏洞来注入恶意脚本。
web skimming attack-overview.png

在我们的研究中,我们遇到了两个恶意图像文件的实例上传到洋红色托管服务器。这两个图像都包含带有基本64编码的JavaScript的PHP脚本,尽管它们具有相同的JavaScript代码,但它们的PHP实现略有不同。阅读Microsoft发布的分析。第一个图像是在Virustotal上伪装成粉丝(也称为捷径图标)的,而另一个图像则可以使用,而另一个是我们团队发现的典型Web图像文件。

web skimming attack-overview 2
]微软还观察到伪装成Google Analytics(分析)和Meta Pixel(以前为Facebook Pixel)脚本的攻击者,以避免引起怀疑。
攻击者将基本64编码的字符串放入欺骗的Google标签管理器代码中。t他的字符串解码为  frompactapps [。]业务/数据[。] php?p \u003d form。

在欺骗的Google Analytics Code(source Microsoft)中编码的掠夺脚本

[ [ [ 专家注意到,元像素欺骗背后的攻击者使用HTTPS使用了新注册的域(NRDS)。 鉴于掠夺活动中采用的越来越回避的策略,组织应确保其电子商务平台,CMS和已安装的插件具有最新的最新安全性,并且只有最新的安全补丁,并且只有他们只能使用Microsoft总结说,从可信赖的来源下载并使用第三方插件和服务。

- END -

看更多