【快讯】近日，火绒收到某境外电商网站求助，其网站页面遭遇不明攻击。火绒团队远程分析后，发现该电商网站所使用的jQuery脚本遭遇“挂马”，并被植入恶意代码，可盗取网站内用户信用卡卡号，包括Visa、百事达、Discover、美国运通等主流信用卡。

火绒工程师分析，病毒通过jQuery脚本传播。一旦激活带毒脚本，用户打开网站页面后，就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号，然后发送至指定的C&C服务器中。由于jQuery脚本在Web前端开发时极为常用，所以该恶意代码会威胁到整个网站的Web交互页面。

火绒团队提醒广大相关网站管理者，以及近期需要登录电商、银行等各类交易平台的用户，请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒，此外，也可以使用“火绒安全软件5.0版”新增的“Web扫描”功能（默认开启），该功能可帮助用户在登录网站时，检测、识别网络数据的潜在威胁。

附【分析报告】：

一、代码分析

近期，火绒接到某境外网站求助，其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后，会在当前页面的指定Web控件中获取信用卡号，最后将信用卡信息发送至C&C服务器（hxxps://ww1-filecloud.com）。被黑客收集的信用卡号包括：Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用，所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例，如下图所示：

被植入的部分恶意代码

一旦带毒的jQuery代码被加载，在页面加载完毕后500毫秒，即会执行恶意代码。代码执行后，会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号，最终发送至C&C服务器中。反混淆后的相关代码，如下图所示：

用来匹配信用卡号的正则表达式，如下图所示：

用于匹配信用卡号的正则表达式

二、附录

文中涉及样本SHA256：