MageCart如何窃取Newegg的信用卡信息

窃取英国航空公司和Feedify漏洞背后的MageCart脚本的恶意信用卡再次遭遇袭击，但这次是针对最大的在线技术零售商之一的Newegg。

RisqIQ和Volexity今天发布的两份报告详细说明了MageCart脚本如何在一个多月的时间内入侵Newegg网站，同时悄悄窃取客户的付款信息。

根据报道，攻击者于8月13日创建了一个名为neweggstats.com的域名。该域名被用作收集从Newegg网站窃取的信用卡详细信息的放置网站。Veloxity进一步表示，这些攻击于8月16日左右在Newegg的网站上发布。

“通过其全球传感器网络，Volexity能够在 2018 年8月16日三天后通过Newegg确认攻击，”Veloxity在他们的报告中说。“基于Volexity从其传感器网络获得的数据，似乎代码可能已经在15:45到20:20 UTC之间添加。攻击者有可能提前开始，但是，Volexity对Newegg交易的各种网络进行了审查当天早些时候，直到这个时间才显示与neweggstats.com无关。“

由于Newegg是技术组件，计算机和硬件领域最大的在线零售商之一，受此漏洞影响的受害者数量可能非常庞大。

“由于2016年的业务规模为26.5亿美元，Newegg是一个非常受欢迎的零售商，”安全研究员Yonathan Klijnsma在RiskIQ博客文章中指出了这一攻击。“Alexa表明，Newegg在美国拥有161个最受欢迎的网站，而且相似的网站也收集了有关现场访问的信息，Newegg估计每月接待超过5000万访客。在整整一个月的浏览过程中，我们可以假设这次袭击声称大规模受害者人数。“

MageCart如何窃取Newegg的信用卡信息

当用户在Newegg购买商品时，他们会被要求输入他们的送货信息，然后继续到他们输入付款信息的第二页。在结帐流程的第二页，Newegg从客户收集付款信息，注入了下面显示的15行MageCart脚本。

当页面加载时，脚本会将自己绑定到用户输入信用卡详细信息后按下的按钮。按下此按钮时，脚本将获取表单的内容，将其转换为JSON，然后将其上载到https://neweggstats.com/GlobalData/网页。

但是，这个neweggstats.com网站并不归Newegg所有，而是由攻击者操作。这使得他们可以窃取在网站遭到黑客攻击的月份内从Newegg购买商品的客户的信用卡详细信息。

但是，对于用户而言，他们只会继续购买，就像没有发生任何事情一样。

保护您的表单免受MageCart的侵害

随着越来越多使用像MageCart这样的脚本窃取信用卡详细信息，Bleeping Computer向RiskIQ研究员Yonathan Klijnsma询问电子商务网站运营商如何更好地保护自己免受这些类型的恶意脚本攻击。

Klijnsma告诉BleepingComputer，“保护非常困难，主要是因为他们通常采取任何可以获得的途径。”

话虽如此，Klijnsma在推特上发布了一些配置付款表单和提交流程的方法，以使像MageCart这样的脚本更难以窃取付款细节。

对#magecart进行非常简单的防范，使他们更难以提取客户的支付数据： 随机化表单并输入字段名称/ ID。在处理结帐时，使用服务器上的会话信息将它们映射回来。 - Yonathan Klijnsma（@ydklijnsma），2018年9月19日

Newegg向客户发送电子邮件

Newegg已经开始向他们的客户发送电子邮件，为违规行为道歉并解释发生的事情。根据Newegg Danny Lee发送的电子邮件，该公司将创建一个关于此违规行为的常见问题解答，并在周五之前将其发布在他们的网站上。

发送给Newegg客户的电子邮件的全文如下：

Dear Customer,

Yesterday, we learned one of our servers had been injected with malware which may have allowed some of your information to be acquired by a third party. The malware was quite sophisticated and we are conducting extensinve research to determine exactly what information may have been acquired or accessed and how many customers may have been impacted. We will keep you up to date with our progress and work to ensure this doesn't happen again. The malware is no longer on our site and we will be doing our best to bring the culprits to justice.

We have not yet determined which customer accounts may have been affected, but out of an abundance of caution we are alerting those accounts at risk as soon as possible so that they can keep an eye on their accounts for any suspicious activity. We hope by alerting you quickly to help prevent any misuse of information that may have been acquired or accessed.

By Friday, we will publish an FAQ that will answer common questions we get; we will send you a link as soon as it goes live. We will also publish the link on our social media platforms. We want to make sure you are completely informed.

We are very sorry circumstances have warranted this message. We are working diligently to address this issue and will provide additional information to you shortly.

Sincerely, 
Danny Lee, CEO Newegg

Bleeping Computer已联系Newegg以获取有关此攻击和受影响客户数量的更多信息，但在本出版物发布之前尚未收到回复。