根据Microsoft 365 Defender 研究团队5月23日发表的研究文章，安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺（Web skimming）攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。

网页掠夺攻击

网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台，这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。

掠夺攻击示意图

攻击者通过在 PHP 中编码来混淆略读脚本（skimming script），然后将其嵌入到图像文件中，通过这种方式，代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。

在某个场景下，当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时，攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者，然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。

隐蔽的攻击手法

微软的分析师报告称，目前三种十分隐蔽的攻击手法的使用正有所增加，分别是：在图像中注入脚本、字符串连接混淆和脚本欺骗。

图像注入脚本：内含base64 编码 JavaScript 的恶意 PHP 脚本，以图像文件的形式伪装成网站图标上传到目标服务器，能在识别出结账页面的情况下运行。

字符串连接混淆：获取托管在攻击者控制的域上的浏览脚本，以加载虚假的结帐表单，该域是 base64 编码并由多个字符串连接而成。

脚本欺骗：将浏览器伪装成 Google Analytics 或 Meta Pixel ，将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中，诱使管理员跳过检查，认为这是网站标准代码的一部分。

防范网页掠夺

微软提醒，鉴于攻击者在攻击活动中采用越来越多的规避策略，企业组织应确保其电商平台、CMS 和已安装的插件是最新版本，并且只下载和使用来自受信任来源的第三方插件和服务。此外，还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。

对于用户而言，应当开启防病毒程序，在结账过程中，注意付款细节，对弹出的可疑窗口提高警惕。

参考来源：https://www.microsoft.com/security/blog/2022/05/23/beneath-the-surface-uncovering-the-shift-in-web-skimming/