前不久有人發(fā)我一個帖子，上面是 Adidas 運(yùn)動鞋的特價消息和一個網(wǎng)站跳轉(zhuǎn)鏈接。

點(diǎn)擊鏈接，便進(jìn)入了 Adidas 運(yùn)動鞋“官方”網(wǎng)站，再一看價格，原價 2000 美元的鞋子竟然只要 134美元。

我毫不猶豫地拍下了這雙特價名牌鞋，并暗喜撿了個大便宜......就在這時，手機(jī)一震一條短信躍然屏上：你的信用卡已透支，透支金額為 100 萬元。

WTF ！買降價鞋會讓信用卡透支？所以~節(jié)操無價的說法是真的嘍？

不，真相只有一個。

假冒偽劣秒變騙錢工具

隨著最新一波品牌熱潮的升溫，宅宅還找到了類似Off-White、Nike等多家品牌的帖子。

這些帖子無一例外，都是用降價銷售作為亮點(diǎn)，試圖將買家?guī)нM(jìn)跳轉(zhuǎn)鏈接。乍看之下，這些網(wǎng)站似乎并無異常，但操作時就會發(fā)現(xiàn)有的地方與真實的品牌官網(wǎng)并非一致。

假冒運(yùn)動鞋專賣店

隨著假冒球鞋網(wǎng)站如雨后春筍般涌現(xiàn)，像這樣的“二手”網(wǎng)站并不少見，其在混淆視聽的情況下，也為希望低價滿足“穿名牌”的人們提供了 B 方案。

只是，相比正規(guī)官網(wǎng)這類網(wǎng)站不會建立完善的安全機(jī)制，以至于現(xiàn)在它們成為了黑客眼中的謀利神器。

研究人員稱，在最新發(fā)現(xiàn)的安全問題中，一些全球著名品牌的復(fù)刻版被黑客嘗試安裝了惡意的 Magecart 腳本，當(dāng)購物者從假冒網(wǎng)站購買運(yùn)動鞋時，他們在付款后不光不會得到運(yùn)動鞋，反而會在付款的時候竊取信用卡信息。

吸引買家進(jìn)假冒網(wǎng)站的論壇帖子

在黑客有意識的攻擊行為中，這一腳本至少被植入了上百個冒充名牌的欺詐網(wǎng)站。它可以竊取購買者提交的信用卡信息并將其發(fā)送到遠(yuǎn)程服務(wù)器。

這些假冒網(wǎng)站通過各大名牌產(chǎn)品的交流社區(qū)、貼吧以及搜索引擎進(jìn)行傳播，其中的降價消息、新品圖片都會根據(jù)不同平臺的特性和優(yōu)勢進(jìn)行優(yōu)化，這為黑客提升了攻擊的成功率。

攻擊分析

根據(jù) Malwarebytes 的說法，黑客正在將一個名為 translate.js 的惡意腳本注入這些運(yùn)動鞋網(wǎng)站。在檢查了站點(diǎn)結(jié)帳頁面的源代碼之后，可以看到一個名為 /js/mage/translate.js 的 JavaScript 文件，如下所示。

注入了 translate.js 腳本

乍一看，此腳本似乎屬于 Magento 電子商務(wù)平臺，該平臺用于創(chuàng)建假冒運(yùn)動鞋網(wǎng)站。但是，如果仔細(xì)觀察，可以發(fā)現(xiàn)混淆的 JavaScript 已添加到 Magento 腳本的底部。

植入的Magento腳本

通過 JS 美化器運(yùn)行 JavaScript 后，我們可以看到該腳本正在收集購物者提交的信用卡信息，然后將其發(fā)送到位于 http://103.139.11.34 的站點(diǎn)。然后，攻擊者即可收集這些被盜的信用卡信息。

在分析了所有被破壞的站點(diǎn)之后， Malwarebytes 威脅情報研究人員 Jér?meSegura 發(fā)現(xiàn)了所有站點(diǎn)具有的共同點(diǎn)：

它們都使用過時的 PHP 編程語言版本和 Magento 運(yùn)行類似的模板，并且位于少數(shù) IP 地址子網(wǎng)中。

受感染網(wǎng)站的部分列表

因此， Malwarebytes 認(rèn)為攻擊者進(jìn)行了大規(guī)模掃描，尋找容易受到攻擊的網(wǎng)站（可能是運(yùn)行 Magento 或過時的 PHP 版本的網(wǎng)站），并利用這些偽造的運(yùn)動鞋網(wǎng)站謀利。

Jér?meSegura稱，我認(rèn)為這是一臺自動掃描儀，它恰好能抓取這些 IP 范圍，而且因為所有站點(diǎn)之間幾乎都是彼此的副本（而且都已過時），所以工作量并不大。

如果你最近在一個陌生的網(wǎng)站（或者其他途徑的“官網(wǎng)”）上購買了運(yùn)動鞋，則可能需要查看 Malwarebytes 的博客以確認(rèn)受感染店鋪的完整列表。