与俄罗斯有联系的网络犯罪分子正在摧毁其大型数据库的工业路由器。安全研究人员观察到，Magecart撇帐器正在路由器上广泛使用，这些路由器旨在支持公共接入网络窃取支付信息。

这些发现是由IBM X-Force IRIS团队的专家做出的，特别是涉及到第7层(L7)路由器，通常是酒店等企业部署的，所以很多客户可以一次接入网络。

研究人员表示，对于网络犯罪分子来说，使用L7路由器是行业的普遍做法，因为“他们拥有丰富的客户数据，其中通常包括支付卡数据——这是Magecart Group的标志”。

与Magecart相关的恶意软件从向网站注入代码开始。在已知的12个Magecart关联组中，mage cart组5 (MG5)最为出名，研究人员认为这个组就是路由器攻击的幕后黑手。

麦格雷戈组织可能因高调攻击英国航空公司、Ticketmaster和Newegg而闻名，这是一场非常有利可图的劫机运动，根据GDPR的说法，这有助于ICO打算罚款1.83亿英镑。

研究人员根据两个JavaScript分隔符文件样本将攻击归因于MG5。他们发现他们有相同的作者，故意的命名方案和穆里诺在俄罗斯的上传位置。

本次调查的开始是在黑帽最喜欢的黑帽VirusTotal上找到MG5链接的代码，检查它是否在主动监控或检测代码。

吸引研究人员注意的一个脚本是“test4.html”。从同一个组和位置上传了17个不同版本的脚本，但进行了细微的更改。有些文件名有“catch”，这些文件似乎包含新插入的try-catch错误处理程序以避免被检测到。

它基于之前在2012年发现的旧脚本“adv nad 20 . js”，该脚本与之前的JavaScript(尽管是良性的)相关联，该JavaScript将在线广告注入到通过酒店Wi-Fi访问的任何网页中(尽管是良性的)。

Tripwire漏洞和IT Pro暴露研究团队的计算机安全研究员克雷格杨(Craig Young)表示：“将JavaScript有效载荷注入毫无戒心的酒店客人的连接中，对于想要获取敏感数据或资源的骗子来说，是一个巨大的胜利。”

“例如，考虑某人在前往卫星办公室时从酒店使用WiFi。第二天早上，当同一台计算机连接到公司时，从酒店WiFi加载的JavaScript实际上可能仍然会被执行(通过网络工人或打开的选项卡)。现在，这个JavaScript可以通过毫无戒心的员工笔记本电脑在一定程度上中继到网络资源的连接。”

研究人员表示，Magecart skimmer的目的是将恶意Web资源注入L7路由器，并注入恶意广告，用户可能必须点击这些广告才能访问公共网络。这样，如果访问者支付数据通过被感染的路由器浏览，就可能被窃取。

IBM的研究人员已经向电子商务网站和银行通报了恶意攻击，并做出了必要的改变来保护他们的客户。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：