吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25238|回复: 60
收起左侧

[分享] 某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃

  [复制链接]
火绒安全实验室 发表于 2019-5-25 14:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-5-25 14:38 编辑

【快讯】近日,火绒收到某境外电商网站求助,其网站页面遭遇不明攻击。火绒团队远程分析后,发现该电商网站所使用的jQuery脚本遭遇“挂马”,并被植入恶意代码,可盗取网站内用户信用卡卡号,包括Visa、百事达、Discover、美国运通等主流信用卡

1.png


火绒工程师分析,病毒通过jQuery脚本传播。一旦激活带毒脚本,用户打开网站页面后,就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号,然后发送至指定的C&C服务器中。由于jQuery脚本Web前端开发时极为常用,所以该恶意代码会威胁到整个网站的Web交互页面

2.png

火绒团队提醒广大相关网站管理者,以及近期需要登录电商、银行等各类交易平台的用户,请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒,此外,也可以使用“火绒安全软件5.0”新增的“Web扫描”功能(默认开启),该功能可帮助用户在登录网站时,检测、识别网络数据的潜在威胁。


附【分析报告】:

一、代码分析
近期,火绒接到某境外网站求助,其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后,会在当前页面的指定Web控件中获取信用卡号,最后将信用卡信息发送至C&C服务器(hxxps://ww1-filecloud.com)。被黑客收集的信用卡号包括:Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用,所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例,如下图所示:

3.png

被植入的部分恶意代码

一旦带毒的jQuery代码被加载,在页面加载完毕后500毫秒,即会执行恶意代码。代码执行后,会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号,最终发送至C&C服务器中。反混淆后的相关代码,如下图所示:


4.png

用来匹配信用卡号的正则表达式,如下图所示:


5.png


用于匹配信用卡号的正则表达式 

二、附录


文中涉及样本SHA256:

6.png

免费评分

参与人数 23吾爱币 +22 热心值 +22 收起 理由
彤哥来啦 + 1 + 1 谢谢@Thanks!
MJ1994 + 1 + 1 谢谢@Thanks!
kujiu + 1 + 1 用心讨论,共获提升!
rainsnow + 1 + 1 谢谢@Thanks!
试试去爱你 + 1 + 1 现在我都是下载了火绒,并且全面开启了安全模式!哈哈哈
原创丶小生 + 1 + 1 给火绒点赞
茫然唔错 + 1 境外?电商?听起来咋那么拗口呢?
Ouyang520 + 1 谢谢@Thanks!
夜袭和尚庙 + 1 + 1 给火绒点赞
GCaptain + 1 + 1 用心讨论,共获提升!
mhxy + 1 + 1 鼓励转贴优秀软件安全工具和文档!
仰头深呼吸 + 1 + 1 我很赞同!
52lxw + 1 + 1 我很赞同!
oxxo119 + 1 + 1 用心讨论,共获提升!
Tomatoman + 1 + 1 用心讨论,共获提升!
Pear + 1 + 1 用心讨论,共获提升!
郑海宁 + 1 + 1 谢谢@Thanks!
gzsklsskszngc + 1 + 1 谢谢@Thanks!
晚辈小生 + 1 + 1 谢谢@Thanks!
viczc + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Fortunate° + 1 + 1 谢谢@Thanks!
沐紫耀 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
姜子牙 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qjw2 发表于 2019-5-25 15:03
只是为了火绒打广告罢 了
Song、vae 发表于 2019-5-25 14:48
牛奶堂 发表于 2019-5-25 14:55
你至少分享一下是哪个网站挂马了啊。。。。
污到深处自然纯 发表于 2019-5-25 15:03
厉害了 ,火绒
cybermay 发表于 2019-5-25 15:06
广告效应 仅能带来流量吗
suxinke 发表于 2019-5-25 15:14
是那个网站呢?
丶小蓝丶 发表于 2019-5-25 17:13
微信截图_20190525171302.png 微信截图_20190525171322.png 为什么和我的版本不一样呢
Deadromance 发表于 2019-5-25 18:23
到处都是火绒,这么厉害了
娃娃菜啊 发表于 2019-5-25 18:52
丶小蓝丶 发表于 2019-5-25 17:13
为什么和我的版本不一样呢

5.0是内侧版本
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 21:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表