Home / Tag Archives: Cloud平台上发现的4个站点

Tag Archives: Cloud平台上发现的4个站点

支付卡恶意软件针对Heroku Cloud平台上发现的4个站点

在 Heroku 的帮助下,支付卡撇取者袭击了四个在线商家研究人员表示,这是Salesforce拥有的云提供商。 Heroku是一个云平台,旨在促进用户创建,维护和提供在线服务。事实证明,该服务还使骗子更容易运行针对第三方站点的撇取者。周三,安全提供商Malwarebytes的情报威胁主管Jerome Segura 说,他发现藏在Heroku上的许多掠夺者。该项目背后的黑客不仅使用了该服务来托管其撇渣器基础设施并将其交付给目标站点。他们还使用Heroku来存储被盗的信用卡数据。 Segura告诉Ars,Heroku的管理员已暂停帐户并在通知后的一个小时内删除了回收者。 4月,Malwarebytes 记录了对Github 的类似滥用。两个月后,安全供应商报告了在Amazon S3存储桶上存留的撇油器。从骗子的角度来看,滥用云提供商是有道理的。它通常是免费的,无需注册相似的域名,并提供一流的可用性和带宽。 “我们可能会继续观察到网络浏览者越来越滥用云服务,因为它们便宜(甚至免费)。” Segura在周三的一封邮件中写道。 在一封电子邮件中,Segura已记录了四个免费的帐户托管帐户Heroku,这些帐户用于四个第三方商家。它们是: stark-throat-44782.herokuapp [.] com与商业网站Correcttoes [.] com 反对panafoto [.] com pure-peak-91770 [.] herokuapp [.] com / intregration.js所用的Ancient-savannah-86049 [.] herokuapp [.] com / configration.js alashancashmere [.] com watercolor-garrigue-51318 [.] herokuapp [.]。js被用于 的amapur。]除了创建Heroku帐户并部署以下代码39,撇渣器和系统在这种情况下,系统计划通过迄今未知的方式来破坏目标商人的网站(尽管某些网站正在运行未打补丁的Web应用程序)。然后,攻击者将单行代码注入受感染的站点。注入的JavaScript代码托管在Heroku上,它正在监视当前页面是否存在以Base64编码的“ Y2hlY2tvdXQ =”字符串-转换为“ checkout”。 当检测到链条时,恶意JavaScript代码加载了一个被覆盖的iframe。支付卡数据并将其以Base64格式编码发送到Heroku帐户。由iframe引起的撇渣器包括一个叠加在合法付款表单上的图层,该图层似乎与实际表单相同。下面的三个屏幕截图显示了该图的作用: 放大 / 渗透机制 …

Read More »