自2019年以來，趨勢科技的研究人員一直在追蹤一個被稱為“Water Pamola”的攻擊活動。該活動最初通過帶有惡意附件的垃圾郵件攻擊了日本、澳大利亞和歐洲國家的電子商務在線商店。

但是，自2020年初以來，研究人員注意到Water Pamola的活動發(fā)生了一些變化。現(xiàn)在，受害者主要只在日本境內(nèi)。最近的跟蹤數(shù)據(jù)表明，攻擊不再通過垃圾郵件發(fā)起。相反，當管理員在其在線商店的管理面板中查看客戶訂單時，就會執(zhí)行惡意腳本。

在進一步搜索后，研究人員注意到一家在線商店管理員詢問了一個奇怪的在線訂單，該訂單包含通常會在客戶地址或公司名稱所在的字段中插入的JavaScript代碼。該腳本很可能是通過利用該商店的管理門戶中的跨網(wǎng)站腳本（XSS）漏洞來激活的。

在論壇上提出的問題，其中顯示了與Pamola水有關的有效載荷

上面是論壇中文本的屏幕截圖，由Google翻譯為“問題”，其中的某個命令似乎是一個惡作劇的命令，地址和公司名稱中包含以下字符。

該腳本連接到Water Pamola的服務器，并下載其他有效載荷。綜上所述，這使研究人員相信Water Pamola會使用此嵌入式XSS腳本在許多目標在線商店下訂單。如果它們?nèi)菀资艿絏SS攻擊，它們將在受害者(即目標商家的管理員)在其管理面板中打開訂單時加載。

研究人員收集了許多攻擊腳本，它們已傳播給不同的目標。腳本執(zhí)行的惡意行為包括頁面獲取、憑據(jù)網(wǎng)絡釣魚、Web Shell感染和惡意軟件傳播。

此活動似乎是出于經(jīng)濟動機，在至少一個實例中，Water Pamola后來遭到攻擊的網(wǎng)站透漏他們遭受了數(shù)據(jù)泄漏。他們的服務器被非法訪問，包括姓名、信用卡號、到期日期和信用卡安全碼在內(nèi)的個人信息可能被泄漏。此攻擊行為可能與Water Pamola有關，它暗示此攻擊活動的最終目標是竊取信用卡數(shù)據(jù)（類似于Magecart攻擊活動）。

XSS攻擊分析

如上所述，Water Pamola發(fā)送了帶有惡意XSS腳本的在線購物訂單，以攻擊電子商務網(wǎng)站的管理員。

值得一提的是，它們并不是針對特定的電子商務框架，而是針對整個電子商務系統(tǒng)。如果商店的電子商務系統(tǒng)容易受到XSS攻擊，那么一旦有人(如系統(tǒng)管理員或商店員工)打開訂單，就會在商家的管理面板上加載并執(zhí)行惡意腳本。

這些腳本使用名為“XSS.ME”的XSS攻擊框架進行管理，該框架可幫助攻擊者處理其攻擊腳本和被盜信息。該框架的源代碼在許多中國公共論壇中被共享。該框架提供的基本攻擊腳本可以報告受害者的位置和瀏覽器Cookie。研究人員觀察到攻擊期間使用的腳本是自定義的。攻擊者提供了多種不同的XSS腳本，其中可能包括以下一種或多種行為：

網(wǎng)頁獲取工具

該腳本將HTTP GET請求發(fā)送到指定的URL地址，并將收到的響應轉發(fā)到Water Pamola的服務器。通常在攻擊的早期階段使用它來從受害者的管理頁面中獲取內(nèi)容，這樣做可以使攻擊者了解環(huán)境并設計適合受害者環(huán)境的攻擊腳本。

用于獲取頁面內(nèi)容并將其發(fā)送回攻擊者的腳本

憑據(jù)網(wǎng)絡釣魚

一些傳播的腳本顯示，該活動試圖通過兩種不同的方法為電子商務網(wǎng)站獲得管理員資格。第一種方法涉及到向頁面添加一個假的登錄表單。腳本掛鉤鼠標點擊事件。如果受害者以偽造的形式輸入憑據(jù)并點擊頁面上的任何位置，腳本將獲取憑據(jù)，使用base64對其進行編碼，用自定義子字符串替換一些字符，然后將這些字符上傳到Water Pamola的服務器。

用于創(chuàng)建和刪除偽造的登錄表單以進行憑據(jù)網(wǎng)絡釣魚的腳本

另一種方法包括顯示授權錯誤消息，然后將用戶重定向到一個釣魚網(wǎng)站，該網(wǎng)站要求用戶輸入他們的憑據(jù)。他們的釣魚網(wǎng)站的子域名被配置為與目標的域名匹配，例如“{victim’s domain}[.]basic-authentication[.]live”。

Webshell/PHP后門注入

某些提供的惡意腳本試圖將后門安裝到使用EC-CUBE框架構建的網(wǎng)站上，該框架在日本很流行。研究人員發(fā)現(xiàn)的攻擊僅適用于EC-CUBE的Series 2。當前版本是Series 4，Series 2現(xiàn)在也得到了擴展支持。

有三種不同的方法用于上傳后門，第一種方法是通過調(diào)用框架提供的本機API來上傳PHP Web Shell文件。 Web Shell文件的名稱硬編碼為" ec_ver.php "， " log3.php “或” temp.php "。 Web Shell可以執(zhí)行HTTP POST請求發(fā)送給Web Shell的任何PHP代碼。

請注意圖6中的屏幕截圖：這篇博客文章http://achineseboy.com/archives/49中提到了具有相同“only_pcd”關鍵字的相同web shell。該博客文章描述了一個由兩個組件組成的web shell，一個PHP腳本和一個HTML上傳文件，但是，不需要第二個組件，因為可以使用任何自定義或第三方工具（例如Fiddler）創(chuàng)建正確的POST請求。

用于將PHP Web Shell上傳到電子商務網(wǎng)站的腳本

第二種方法是修改頁面標頭以注入PHP代碼，然后該代碼將執(zhí)行HTTP請求中參數(shù)“ec_ver2update”發(fā)送的任何PHP代碼。請注意，下面的PHP代碼是模糊的。首先，$ IDFX變量使用XOR操作（請參見字符^）對字符串“create_function”進行解碼，然后將所得的base64字符串解碼為@eval（$ _ REQUEST [‘ec_ver2update’]），這是后門的代碼。

用于修改商店頁面標題以注入Web Shell的腳本

第三種方法是將嵌入在名為“MakePlugin.tar.gz”的文件中的惡意插件安裝到電子商務框架。該插件旨在將多個PHP Web Shell文件拖放到服務器上。

用于上傳和安裝惡意插件的腳本“MakePlugin.tar.gz”

惡意插件安裝幾個帶有web shell的文件

惡意軟件傳播

在這種情況下，攻擊腳本將顯示一個警告提示，并顯示一條消息：“你的Flash版本太低，請安裝最新版本，然后重試！”然后將受害者重定向到他們控制的虛假Flash安裝程序下載網(wǎng)站。請注意，Adobe已于2020年12月31日宣布Flash結束使用。

如果受害者下載并執(zhí)行從此頁面下載的安裝程序，則受害者將感染Gh0stRat惡意軟件的一種變體，以前也稱為Gh0stCringe或CineregRAT。該RAT的代碼基于泄漏的Gh0st RAT源代碼；但是，它的流量加密是自定義的，并且增加了一些新功能，例如QQ號碼盜竊。與這次行動有關的Gh0st RAT樣本是經(jīng)過模糊處理的可執(zhí)行文件，它可以解密內(nèi)存中的主要有效載荷并執(zhí)行其名為“Shellex”的主要輸出功能。

該腳本顯示錯誤消息并重定向到偽造的Flash安裝程序

【白嫖網(wǎng)絡安全學習資料】

總結

以上是生活随笔為你收集整理的有开电商的集合了，了解Water Pamola通过恶意订单对电商发起攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。