火绒安全实验室 发表于 2019-5-25 14:36

某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃

本帖最后由 此生长唸 于 2019-5-25 14:38 编辑

【快讯】近日,火绒收到某境外电商网站求助,其网站页面遭遇不明攻击。火绒团队远程分析后,发现该电商网站所使用的jQuery脚本遭遇“挂马”,并被植入恶意代码,可盗取网站内用户信用卡卡号,包括Visa、百事达、Discover、美国运通等主流信用卡。




火绒工程师分析,病毒通过jQuery脚本传播。一旦激活带毒脚本,用户打开网站页面后,就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号,然后发送至指定的C&C服务器中。由于jQuery脚本在Web前端开发时极为常用,所以该恶意代码会威胁到整个网站的Web交互页面。



火绒团队提醒广大相关网站管理者,以及近期需要登录电商、银行等各类交易平台的用户,请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒,此外,也可以使用“火绒安全软件5.0版”新增的“Web扫描”功能(默认开启),该功能可帮助用户在登录网站时,检测、识别网络数据的潜在威胁。


附【分析报告】:

一、代码分析
近期,火绒接到某境外网站求助,其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后,会在当前页面的指定Web控件中获取信用卡号,最后将信用卡信息发送至C&C服务器(hxxps://ww1-filecloud.com)。被黑客收集的信用卡号包括:Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用,所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例,如下图所示:



被植入的部分恶意代码
一旦带毒的jQuery代码被加载,在页面加载完毕后500毫秒,即会执行恶意代码。代码执行后,会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号,最终发送至C&C服务器中。反混淆后的相关代码,如下图所示:



用来匹配信用卡号的正则表达式,如下图所示:



用于匹配信用卡号的正则表达式 

二、附录

文中涉及样本SHA256:

qjw2 发表于 2019-5-25 15:03

只是为了火绒打广告罢 了

Song、vae 发表于 2019-5-25 14:48

支持火绒安全团队

牛奶堂 发表于 2019-5-25 14:55

你至少分享一下是哪个网站挂马了啊。。。。

污到深处自然纯 发表于 2019-5-25 15:03

厉害了 ,火绒

cybermay 发表于 2019-5-25 15:06

广告效应 仅能带来流量吗

suxinke 发表于 2019-5-25 15:14

是那个网站呢?

丶小蓝丶 发表于 2019-5-25 17:13

为什么和我的版本不一样呢

Deadromance 发表于 2019-5-25 18:23

到处都是火绒,这么厉害了

娃娃菜啊 发表于 2019-5-25 18:52

丶小蓝丶 发表于 2019-5-25 17:13
为什么和我的版本不一样呢

5.0是内侧版本
页: [1] 2 3 4 5 6 7
查看完整版本: 某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃