vlambda博客
学习文章列表

某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃

【快讯】近日,火绒收到某境外电商网站求助,其网站页面遭遇不明攻击。火绒团队远程分析后,发现该电商网站所使用的jQuery脚本遭遇“挂马”,并被植入恶意代码,可盗取网站内用户信用卡卡号,包括Visa、万事达、Discover、美国运通等主流信用卡。



火绒工程师分析,病毒通过jQuery脚本传播。一旦激活带毒脚本,用户打开网站页面后,就会立即执行恶意代码。病毒会在当前页面中搜索用户信用卡号,然后发送至指定的C&C服务器中。由于jQuery脚本在Web前端开发时极为常用,所以该恶意代码会威胁到整个网站的Web交互页面。


某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃


火绒团队提醒广大相关网站管理者,以及近期需要登录电商、银行等各类交易平台的用户,请及时安装安全软件做好防护准备。“火绒安全软件”最新版可以查杀该病毒,此外,也可以使用“火绒安全软件5.0版”新增的“Web扫描”功能(默认开启),该功能可帮助用户在登录网站时,检测、识别网络数据的潜在威胁。

 

附【分析报告】:


一、代码分析

近期,火绒接到某境外网站求助,其网站所使用的jQuery脚本中被“挂马”。恶意代码执行后,会在当前页面的指定Web控件中获取信用卡号,最后将信用卡信息发送至C&C服务器(hxxps://ww1-filecloud.com)。被黑客收集的信用卡号包括:Visa、百事达、Discover、美国运通。由于被植入恶意代码的脚本在Web前端开发时极为常用,所以该恶意代码几乎威胁该站点中所有的可交互Web页面。被植入的恶意代码较长仅以部分代码为例,如下图所示:


某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃被植入的部分恶意代码


一旦带毒的jQuery代码被加载,在页面加载完毕后500毫秒,即会执行恶意代码。代码执行后,会通过正则表达式在当前页面中的所有input、select、textarea控件中匹配信用卡号,最终发送至C&C服务器中。反混淆后的相关代码,如下图所示:

 

某电商网站jQuery脚本被挂马 大量用户信用卡信息被窃


用来匹配信用卡号的正则表达式,如下图所示:

 

用于匹配信用卡号的正则表达式


二、附录

文中涉及样本SHA256: