最近发现大约 500 个电子商务网站遭到黑客入侵，黑客安装了一个信用卡撇取器，当访问者试图购买时，它会偷偷窃取敏感数据。

周二发布的一份报告只是涉及 Magecart 的最新报告，Magecart 是一个总称，指的是用撇油器感染电子商务网站的竞争犯罪集团。在过去的几年里，成千上万的网站受到攻击，导致它们运行恶意代码。当访问者在购买过程中输入支付卡详细信息时，代码会将这些信息发送到攻击者控制的服务器。

欺诈由 Naturalfreshmall[.]com 提供

发现最新一批感染的安全公司 Sansec 表示，受感染的网站都在加载托管在域 naturalfreshmall[.]com 上的恶意脚本。

公司研究人员“Natural Fresh 撇渣器显示了一个虚假的支付弹出窗口，破坏了（符合 PCI 标准的）托管支付表单的安全性。” “付款发送到 https://naturalfreshmall[.]com/payment/Payment.php。”

然后，黑客修改了现有文件或植入了新文件，这些文件提供了不少于 19 个后门，黑客可以使用这些后门来保持对网站的控制，以防检测到并删除恶意脚本并更新易受攻击的软件。对站点进行全面消毒的唯一方法是在更新易受攻击的 CMS 之前识别并删除后门，这些 CMS 最初允许站点被黑客入侵。

Sansec 与被黑网站的管理员合作，以确定攻击者使用的通用入口点。研究人员最终确定，攻击者在名为Quickview的 Magento 插件中结合了 SQL 注入漏洞和 PHP 对象注入攻击。这些漏洞允许攻击者直接在 Web 服务器上执行恶意代码。

他们通过滥用 Quickview 向customer_eav_attribute表中添加验证规则并注入有效负载来欺骗主机应用程序制作恶意对象，从而完成了此代码执行。然后，他们在网站上注册为新用户。

“但是，仅将其添加到数据库中不会运行代码，”Sansec 研究人员解释说。“Magento 实际上需要对数据进行反序列化。这种攻击的巧妙之处在于：通过使用新客户的验证规则，攻击者只需浏览 Magento 注册页面即可触发反序列化。”

在 Sansec 首次在 Twitter 上报告该活动后，不难发现一个多星期后仍被感染的网站。在这篇文章上线时，Bedexpress[.]com 继续包含这个 HTML 属性，它从流氓 naturalfreshmall[.]com 域中提取 JavaScript。

被黑网站运行的是 Magento 1，该版本的电子商务平台已于 2020 年 6 月停用。对于仍在使用此已弃用软件包的任何网站，更安全的选择是升级到最新版本的 Adob​​e Commerce。另一种选择是使用OpenMage项目中的 DIY 软件或Mage-One的商业支持来安装适用于 Magento 1 的开源补丁。

人们通常很难在没有经过特殊培训的情况下检测到刷卡机。一种选择是使用防病毒软件，例如 Malwarebytes，它会实时检查访问网站上提供的 JavaScript。人们也可能希望避开那些使用过时软件的网站，尽管这并不能保证该网站是安全的。