美共和党捐款Magento平台被攻击 涉及3千万美金捐款 NTI绿盟威胁情报中心监测到分布

2016年3月16日至10月5日期间,共和党人为参议院全国委员会(NRSC)捐款设立一个平台。该平台遭到恶意程序攻击,该恶意程序旨在窃取信用卡详细信息和个人信息。大约在2016年10月6日左右,NRSC私下解决了这一问题。

NRSC的捐款人需要检查自己的信用卡账单了

Willem de Groot是一位来自荷兰的开发人员,他发现了数千个被入侵的网站,其中包括NRSC捐款系统网站,这些网站上运行的Magento电子平台的版本均有漏洞。

被泄露的NRSC交易信息包括捐款人的姓名、邮件地址、账单明细(州名、城市名、具体地址和邮编)、雇主详情、职业、信用卡类型、卡号、有效期和安全码。

Magento电子平台是什么

Magento 是 PHP 编写的开源电子商务平台。该软件最初是由 Varien 公司与志愿者一起开发的。公司的总部设在加州卡尔弗城。

eBay投资的电子商务系统Magento在全球范围内共有超过24万个商家客户,是广受赞誉的全球最优秀的电子商务系统。在2015年,Magento电子商务平台曾经爆出过远程代码执行漏洞

恶意程序窃取信息后主要发往jquery-cloud

一旦恶意代码收集到这些数据,相关交易就会发送至2个不同域中的某一个。

今年早些时候,负责盗取信用卡数据的犯罪分子使用jquery-cloud[.]net来接收被攻击交易的记录。之后,NRSC网站上的代码被更改,用于将盗刷交易发送至jquery-cloud[.]su。

恶意的.su域仍在使用,托管在网络(Dataflow)上。该网络上有一些可疑的客户端(将其称为犯罪客户端也许有些武断),包括那些涉及毒品、洗钱、网络钓鱼和垃圾邮件的客户端。

本次攻击的幕后黑手尚不清楚,因为谁都可以注册域名和获取托管服务。de Groot研究中一个有趣的发现是Dataflow和jquery-cloud[.]net在2015年11月的某个星期内同时在线。

NTI威胁情报中心监测到jquery-cloud域名

根据NTI绿盟威胁情报中心给出的数据显示,与JQuery-cloud域名相关的系统及地区分布如下,从中可以看到美国、土耳其感染最多,国内有少许感染。

NRSC被攻击的影响

至于影响,NRSC网站上到底有多少交易遭到了攻击,这很难统计。de Groot表示,按照流量计算,可能每月多达3500多个交易遭受攻击。

根据提交给联邦选举委员会的报告显示,自2016年3月首次在域中发现信用卡盗刷代码以来,NRSC共收到了3000万美元的捐款。但是,该数据指的是收到的全部资金,并未单独列出信用卡捐款。

如前所述,在本月早期,该问题一进入公众视线,NRSC就悄悄地将受到攻击的网站迁移至WordPress平台。犯罪分子的目标是Magento,但同时也攻击了OpenCart和Powerfront CMS。

Slated Hash试图在周末联系NRSC,但并未收到相关回应。截止10月17日,NRSC网站尚未提及新网站或被攻击的电子商务平台。

不幸的是,这意味着一旦账户显示欺诈活动迹象,信用卡信息遭到泄露的共和党支持者们会措手不及,对于问题出现的根本原因一无所知。

该恶意程序的攻击尚未受到重视

在研究中,de Groot发现5400多个网站都遭到NRSC域中使用过的相同类型的恶意代码攻击。到目前为止,他发现了9种盗刷代码的变体,这表明攻击中涉及多人(或多个团伙)。

当de Groot联系受害者,试图提醒他们留心针对自己域的攻击时,很多网站所有人未能了解该情况的全部影响。

作为对de Groot警告的回应,一些网站辩称犯罪分子添加的代码并没有影响,因为“我们的付款交由第三方支付服务提供商处理”或“本店是安全的,因为我们使用HTTPS”。

诸如此类的回应,忽略了更重要的一点。如果付处理系统的代码受到攻击,第三方处理和HTTPS并不能防止犯罪分子获取客户的信用卡数据或个人信息。

您可在GitLab网站上查看受到盗刷代码攻击的完整网站清单。周末,GitLab误删了该清单,但他们已致歉并恢复。

发表评论