科創(chuàng)板上市企業(yè)九號公司旗下國際品牌賽格威（Segway）遭黑客攻擊，在線商店被植入Magecart惡意腳本近1月（更新），顧客結(jié)賬過程的信用卡與個人信息可能遭到竊取；

　　Malwarebytes分析師認為，Magecart團伙可能利用了商店Magento CMS或某個配套插件的漏洞實現(xiàn)惡意代碼注入。

　　據(jù)外媒報道，國內(nèi)知名電動平衡車品牌、科創(chuàng)板上市企業(yè)九號公司遭到黑客攻擊，旗下國際品牌賽格威（Segway）的在線商店被植入Magecart惡意腳本，可能在結(jié)賬過程中竊取客戶信用卡與個人信息。

　　賽格威的主要產(chǎn)品是兩輪平衡車和一系列個人代步工具，主要面向負責園區(qū)巡邏的安保人員、市內(nèi)短途通勤用戶、高爾夫球愛好者以及其他休閑游樂設(shè)施內(nèi)部的靈活移動場景。

　　新型攻擊手法：

　　利用圖標加載惡意腳本

　　MageCart攻擊是一種較流行的攻擊方式，指黑客入侵網(wǎng)站并植入惡意腳本，進而在購物過程中竊取信用卡及客戶信息。

　　過去幾年來，安全軟件對這類惡意腳本的檢測能力日益增強，也迫使攻擊者研究出更好的方法來隱藏自身行跡。

　　其中一種方式是將惡意信用卡收集程序嵌入到合法無害的網(wǎng)站圖標文件當中，這類文件負責在網(wǎng)頁的選項卡中顯示小尺寸網(wǎng)站徽標等圖標，向用戶快速提示當前頁面的顯示內(nèi)容。

　　據(jù)Malwarebytes Labs發(fā)布的報告，惡意攻擊者將JavaScript腳本偽裝成網(wǎng)站版權(quán)顯示信息，添加到賽格威在線商店（store.segway.com）的頁面中，該腳本加載了暗藏惡意腳本的外部網(wǎng)站圖標。

　　用于加載惡意圖標的外部URL

　　雖然這個惡意網(wǎng)站圖標文件確實包含圖像內(nèi)容，并能夠被瀏覽器所正確顯示，但其中還暗中夾帶著竊取支付信息的信用卡搜集程序腳本。除非我們使用十六進制編輯器進行分析，否則大家根本感受不到腳本的存在，如下圖所示。

　　嵌入在網(wǎng)站圖標中的搜集程序加載函數(shù)

　　自2020年以來，經(jīng)驗豐富的Magecart團伙已經(jīng)利用這項技術(shù)先后入侵了多個知名企業(yè)網(wǎng)站，包括Claire's、Tupperware、Smith & Wesson、Macy's以及英國航空等。

　　惡意代碼已植入近1月，

　　攻擊者疑為Magecart Group 12組織

　　Malwarebytes表示，負責此番入侵的具體攻擊小組為Magecart Group 12中的成員。Magecart Group 12的惡意活動完全以經(jīng)濟利益為主導(dǎo)，而且至少從2019年開始就一直在竊取信用卡信息。

　　研究人員們表示，相應(yīng)的惡意代碼至少從2022年1月6日起就已經(jīng)出現(xiàn)在賽格威網(wǎng)站之上，他們已經(jīng)與該公司取得聯(lián)系并分享了攻擊情況。

　　截至本文撰稿時，該惡意代碼仍存在于賽格威官網(wǎng)當中（更新：已修復(fù)），但已經(jīng)被多種安全產(chǎn)品成功屏蔽。

　　ESET會阻止用戶訪問賽格威在線商店

　　Malwarebytes分析師認為，Magecart團伙可能是利用商店的Magento CMS或者某種配套插件的漏洞實現(xiàn)惡意代碼注入的。

　　遙測數(shù)據(jù)顯示，賽格威商店的大部分客戶來自美國本土（占比55%），其次是澳大利亞（占比39%）。

　　本文作者正在聯(lián)系賽格威以了解的更多消息，但對方目前尚未做出回復(fù)。

　　普通用戶該如何自保

　　此次賽格威在線商店遭入侵事件，是黑客利用知名網(wǎng)站攫取非法經(jīng)濟利益的又一典型案例。

　　消費者們應(yīng)該盡可能使用電子支付或者一次性卡，選擇更嚴格的扣款審核政策，甚至可以優(yōu)先選擇貨到付款，以避免受到此類攻擊影響。

　　另外，可以使用互聯(lián)網(wǎng)安全工具檢測并屏蔽結(jié)賬頁面中可能加載的惡意JavaScript腳本。畢竟一旦信用卡被盜，后續(xù)的麻煩事著實令人抓狂。