Rooster Teeth旗下拥有RTDocs, Crunch Time, Red vs. Blue, gen:LOCK, 和Day 5这些产品,这些产品的页面会引导访问者进入一个钓鱼网站然后付款。
根据他们公司的告知,Roost Teeth在12月2日的时候发现自己的网上商场早先被黑客攻击。在那次攻击中,恶意代码被植入到网上的商场中,使得页面会引导访问者进入一个钓鱼网站然后付款。而这些钓鱼网站由攻击者控制。
“在2019年12月2日,Rooster Teeth发现恶意代码已在当天的早些时候添加到网站。该恶意代码将用户定向到该站点上的结帐页面,进入一个钓鱼网页,要求他们依次输入付款卡详细信息完成购买。将其插入用户输入运输数据的阶段之后。然后,完成支付卡详细信息页面的用户将被带到真实网页,并要求他们再次填写表格。”
这使攻击者可以窃取提交的客户的姓名,电子邮件地址,电话号码,实际地址和付款卡信息。
该恶意代码已于当天从其商店中删除。
Rooster Teeth已向受此漏洞影响的客户发送了数据泄露通知,并提供免费的1年Experian IdentityWorks订阅。
对于受影响的人,BleepingComputer强烈建议您与您的信用卡商人联系并说明情况。您还应监视您的对帐单是否存在欺诈或可疑的指控,并在发现后立即提出异议。
不常见的Magecart攻击
我们最近看到的大多数在线商店信用卡盗用攻击都称为Magecart攻击,涉及破坏在线商店以注入恶意脚本。然后,这些脚本将监视并提交的信用卡信息,然后将其发送到攻击者控制下的远程站点。
RiskIQ 的Yonathan Klijnsma告诉BleepingComputer,Rooster Teeth受到的攻击与研究人员的最近披露的Fullz House: a digital crime group report类似。
在Fullz House和Rooster Teeth的数据泄露通知中描述的攻击中,在攻击者的控制下恶意脚本与网络钓鱼页面结合在一起以窃取付款信息。
例如,下图是一个钓鱼网站窃取Commonwealth Bank的用户支付信息:
研究员Jerome Segura第一次发现这样的攻击手段。他提醒BleepingComputer,这些攻击的钓鱼页面会根据客户的地理位置而变化。
下面是他列举的IOC:
payment-mastercard[.]com
google-query[.]com
google-analytics[.]top
google-smart[.]com
google-payment[.]com
jquery-assets[.]com
sagepay-live[.]com
google-query[.]com
payment-sagepay[.]com
payment-worldpay[.]com
当用户单击按钮进行付款时,没有显示商店的正常付款页面,而是将他们重定向到假装为信用卡商家使用但受攻击者控制的假付款页面。
这类似于用户在通过Google Pay或PayPal处理付款的商店中购买商品时可能遇到的合法重定向。
当购物者提交付款信息时,它将被传输到攻击者的服务器。钓鱼网站然后将用户重定向到商店的合法付款结帐页面,在该页面中将提示客户再次提交信息。
虽然这不是传统的Magecart攻击,但可以达到相同的结果。它还向我们表明,攻击者正在不断发展其操作,因此我们必须了解的新攻击场景和方法。