自 2019 年以來，研究人員一直在追蹤名為“The .”的惡意活動(dòng)。 該活動(dòng)最初通過帶有惡意附件的垃圾郵件傳播網(wǎng)站安全之php防止注入攻擊代碼，并襲擊了日本、澳大利亞和歐洲國(guó)家/地區(qū)的電子商務(wù)在線商店。 然而，自 2020 年初以來，該活動(dòng)的受害者主要出現(xiàn)在日本網(wǎng)站安全之php防止注入攻擊代碼，不再通過垃圾郵件傳播，而是在管理員在其在線商店的管理面板中查看客戶訂單時(shí)執(zhí)行惡意腳本。

進(jìn)一步搜索后，研究人員注意到一位在線商店管理員訪問了一份奇怪的在線訂單，其中包含一個(gè)代碼，該代碼通常會(huì)插入客戶地址或公司名稱所在的字段中。 該腳本可能是利用商店管理門戶中的跨站點(diǎn)腳本 (XSS) 漏洞執(zhí)行的。 腳本連接到并下載額外負(fù)載的服務(wù)器。 研究人員確定，這個(gè)嵌入式 XSS 腳本被用于在許多在線商店下訂單。 如果它們?nèi)菀资艿?XSS 攻擊，它們將在受害者（即目標(biāo)商家的管理員）在其管理面板中打開訂單時(shí)加載。

惡意活動(dòng)的攻擊鏈如下：

惡意活動(dòng)的攻擊鏈

腳本執(zhí)行的惡意操作包括頁面抓取、憑據(jù)網(wǎng)絡(luò)釣魚、Web 感染和惡意軟件傳遞。 頁面抓取允許攻擊者了解環(huán)境并設(shè)計(jì)適合受害者環(huán)境的攻擊腳本。 憑據(jù)網(wǎng)絡(luò)釣魚涉及通過欺騙電子商務(wù)網(wǎng)站的登錄界面來竊取網(wǎng)站管理員憑據(jù)。 Web 感染針對(duì)使用 EC-CUBE 框架構(gòu)建的網(wǎng)站。 攻擊者可以通過調(diào)用框架提供的原生API上傳PHP網(wǎng)頁文件，修改頁面頭部注入PHP代碼，或者在電商框架中安裝名為“.tar”的文件。 .gz”完成感染。

攻擊者腳本會(huì)提示用戶更新軟件網(wǎng)站開發(fā)，一旦他們同意網(wǎng)站模板，受害者將被重定向到一個(gè)由攻擊者控制的虛假安裝程序下載站點(diǎn)進(jìn)行最終安裝。 該RAT的代碼基于泄露的RAT源碼，定制了流量加密，并增加了一些新的功能，如QQ號(hào)碼盜用。

建議

通過將 XSS 腳本附加到在線購物訂單來攻擊在線商家。 研究人員建議管理員更新網(wǎng)站上使用的所有電子商務(wù)平臺(tái)的版本，以防止任何潛在的漏洞，包括 XSS 攻擊。 檢測(cè)惡意文件和垃圾郵件并阻止所有相關(guān)的惡意 URL 保護(hù)用戶和企業(yè)免受攻擊。

（每日更新整理國(guó)內(nèi)外威脅情報(bào)預(yù)警，幫助威脅研究人員及時(shí)了解和追蹤相關(guān)威脅事件）

安恒威脅情報(bào)中心：專注于提供威脅數(shù)據(jù)與分析服務(wù)