本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

前不久有人发我一个帖子,上面是 Adidas 运动鞋的特价消息和一个网站跳转链接。

点击链接,便进入了 Adidas 运动鞋“官方”网站,再一看价格,原价 2000 美元的鞋子竟然只要 134美元。

我毫不犹豫地拍下了这双特价名牌鞋,并暗喜捡了个大便宜......就在这时,手机一震一条短信跃然屏上:你的信用卡已透支,透支金额为 100 万元。

WTF !买降价鞋会让信用卡透支?所以~节操无价的说法是真的喽?

不,真相只有一个。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

假冒伪劣秒变骗钱工具

随着最新一波品牌热潮的升温,宅宅还找到了类似  Off-White  、  Nike  等多家品牌的帖子。

这些帖子无一例外,都是用降价销售作为亮点,试图将买家带进跳转链接。乍看之下,这些网站似乎并无异常,但操作时就会发现有的地方与真实的品牌官网并非一致。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

假冒运动鞋专卖店

随着假冒球鞋网站如雨后春笋般涌现,像这样的“二手”网站并不少见,其在混淆视听的情况下,也为希望低价满足“穿名牌”的人们提供了 B 方案。

只是,相比正规官网这类网站不会建立完善的安全机制,以至于现在它们成为了黑客眼中的谋利神器。

研究人员称,在最新发现的安全问题中,一些全球著名品牌的复刻版被黑客尝试安装了恶意的 Magecart 脚本,当购物者从假冒网站购买运动鞋时,他们在付款后不光不会得到运动鞋,反而会在付款的时候窃取信用卡信息。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

吸引买家进假冒网站的论坛帖子

在黑客有意识的攻击行为中,这一脚本至少被植入了上百个冒充名牌的欺诈网站。它可以窃取购买者提交的信用卡信息并将其发送到远程服务器。

这些假冒网站通过各大名牌产品的交流社区、贴吧以及搜索引擎进行传播,其中的降价消息、新品图片都会根据不同平台的特性和优势进行优化,这为黑客提升了攻击的成功率。

攻击分析

根据 Malwarebytes 的说法,黑客正在将一个名为 translate.js 的恶意脚本注入这些运动鞋网站。在检查了站点结帐页面的源代码之后,可以看到一个名为 /js/mage/translate.js 的 JavaScript 文件,如下所示。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

注入了 translate.js 脚本

乍一看,此脚本似乎属于 Magento 电子商务平台,该平台用于创建假冒运动鞋网站。但是,如果仔细观察,可以发现混淆的 JavaScript 已添加到 Magento 脚本的底部。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

植入的Magento脚本

通过 JS 美化器运行 JavaScript 后,我们可以看到该脚本正在收集购物者提交的信用卡信息,然后将其发送到位于 http://103.139.11.34 的站点。然后,攻击者即可收集这些被盗的信用卡信息。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

在分析了所有被破坏的站点之后, Malwarebytes 威胁情报研究人员 JérômeSegura 发现了所有站点具有的共同点:

它们都使用过时的 PHP 编程语言版本和 Magento 运行类似的模板,并且位于少数 IP 地址子网中。

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

受感染网站的部分列表

因此, Malwarebytes 认为攻击者进行了大规模扫描,寻找容易受到攻击的网站(可能是运行 Magento 或过时的 PHP 版本的网站),并利用这些伪造的运动鞋网站谋利。

JérômeSegura称,我认为这是一台自动扫描仪,它恰好能抓取这些 IP 范围,而且因为所有站点之间几乎都是彼此的副本(而且都已过时),所以工作量并不大。

如果你最近在一个陌生的网站(或者其他途径的“官网”)上购买了运动鞋,则可能需要查看 Malwarebytes 的博客以确认受感染店铺的完整列表。

编译来源:bleepingcomputer

雷锋网 (公众号:雷锋网) 雷锋网雷锋网

本以为找到全网最低价Adidas,谁知付款后信用卡被清空了......

随意打赏

提交建议
微信扫一扫,分享给好友吧。