• 首页
  • 产品·服务
    个人版5.0 企业产品 对外合作 病毒威胁上报
  • 理念·技术
  • 资讯·论坛
    资讯 论坛
  • 关于火绒
    公司信息 加入我们

某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃

     最新资讯      2019-05-25      

【快讯】近日,火绒收到某境外电商网站求助,其网站页面遭遇不明攻击。火绒团队远程分析后,发现该电商网站所使用的jQuery脚本遭遇“挂马”,并被植入恶意代码,可盗取网站内用户信用卡卡号,包括Visa、百事达、Discover、美国运通等主流信用卡。

 

1.png

 

火绒工程师分析,病毒通过jQuery脚本传播。一旦激活带毒脚本,用户打开网站页面后,就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号,然后发送至指定的C&C服务器中。由于jQuery脚本在Web前端开发时极为常用,所以该恶意代码会威胁到整个网站的Web交互页面。

 

2.png

 

火绒团队提醒广大相关网站管理者,以及近期需要登录电商、银行等各类交易平台的用户,请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒,此外,也可以使用“火绒安全软件5.0版”新增的“Web扫描”功能(默认开启),该功能可帮助用户在登录网站时,检测、识别网络数据的潜在威胁。

 

附【分析报告】:

一、代码分析

近期,火绒接到某境外网站求助,其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后,会在当前页面的指定Web控件中获取信用卡号,最后将信用卡信息发送至C&C服务器(hxxps://ww1-filecloud.com)。被黑客收集的信用卡号包括:Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用,所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例,如下图所示:

 

3.png

被植入的部分恶意代码

一旦带毒的jQuery代码被加载,在页面加载完毕后500毫秒,即会执行恶意代码。代码执行后,会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号,最终发送至C&C服务器中。反混淆后的相关代码,如下图所示:

 

4.png

 

用来匹配信用卡号的正则表达式,如下图所示:

 

5.png

用于匹配信用卡号的正则表达式

 

二、附录

文中涉及样本SHA256:

 

6.png

 

 

  • 上一篇
  • 下一篇
分享到:
说点什么
验证码
热门评论
热门排序  |  时间排序
火绒终端安全管理系统1.0
适用于政府、企业、学校、医院等机构用户 90天免费试用
立即试用
火绒安全软件5.0
个人用户免费使用
立即下载
热门资讯
重要通知:火绒4.0版于近期升级为5.0版
重要通知:火绒4.0版于近期升级为5.0版
  • 火绒入局企业级市场:红了谁的樱桃?...
  • 火绒马刚:倔强独角兽不想跪下赚钱
  • 分手360后,奇安信为何选择牵手火绒安...
  • 打疼友商的火绒:有人要 OEM 引擎,有...
  • 勒索软件作者突然道歉并放出密钥
  • 火绒关停流量业务,我和马刚聊了聊
  • 火绒 CEO 刘刚:关于 AI 、威胁情报和...
  • 「火绒安全」获天融信Pre-A轮融资,下...
  • 火绒马刚口述:站着能挣钱,是我坚定...
  • 新中文勒索软件露面:支付比特币赎金

北京火绒网络科技有限公司

北京市朝阳区红军营南路15号瑞普大厦B座1202室

专业认证

全国服务热线

010-8490-5882

咨询时间: 9:30 - 18:30

电话传真: 010-84905882

Copyright 2011-2019 北京火绒网络科技有限公司 ALL Rights Reserved 京ICP备16038014号 京公网安备11010502035539号