打開網(wǎng)易新聞 查看精彩圖片

一個(gè)新發(fā)現(xiàn)的名為“disgrasya”的惡意PyPi包，濫用合法的WooCommerce商店來驗(yàn)證被盜的信用卡，已從開源包平臺(tái)下載超過34000次。

該腳本專門針對(duì)使用CyberSource支付網(wǎng)關(guān)的WooCommerce商店來驗(yàn)證卡，這是梳理參與者的關(guān)鍵步驟，他們需要評(píng)估來自暗網(wǎng)轉(zhuǎn)儲(chǔ)和泄露數(shù)據(jù)庫(kù)的數(shù)千張被盜卡，以確定其價(jià)值和潛在的利用。

盡管該軟件包已從PyPI中刪除，但其高下載數(shù)量顯示了此類惡意操作的絕對(duì)濫用量。

Socket研究人員在一份報(bào)告中解釋說：“與典型的依賴于欺騙或輸入的供應(yīng)鏈攻擊不同，disgrasya并沒有試圖看起來是合法的?！?/p>

這是公開的惡意行為，濫用PyPI作為一個(gè)分銷渠道，以接觸更多的欺詐者。值得一提的是公然濫用PyPi來托管一個(gè)包，創(chuàng)建者在描述中明確表示該包用于惡意活動(dòng)。

Socket指出，軟件包上的惡意功能是在版本7.36.9中引入的，可能是為了逃避安全檢查的檢測(cè)，與后續(xù)更新相比，初次提交的安全檢查可能更嚴(yán)格。

打開網(wǎng)易新聞 查看精彩圖片

惡意包包含一個(gè)Python腳本，該腳本訪問合法的WooCommerce站點(diǎn)，收集產(chǎn)品id，然后通過調(diào)用商店的后端將商品添加到購(gòu)物車中。

接下來，它導(dǎo)航到站點(diǎn)的結(jié)結(jié)賬頁(yè)面，從中竊取CSRF令牌和捕獲上下文，這是CyberSource用戶用于安全處理卡數(shù)據(jù)的代碼片段。

Socket表示，這兩個(gè)通常隱藏在頁(yè)面上并很快過期，但是腳本在使用虛構(gòu)的客戶信息填充結(jié)帳表單時(shí)立即捕獲它們。

在接下來的步驟中，它不是將被盜的卡直接發(fā)送到支付網(wǎng)關(guān)，而是將其發(fā)送到由攻擊者控制的服務(wù)器（railgunmisaka.com），該服務(wù)器假裝是CyberSource并為該卡提供假令牌。

打開網(wǎng)易新聞 查看精彩圖片

向外部發(fā)送卡片數(shù)據(jù)的POST請(qǐng)求

最后，將帶有令牌化卡的訂單提交到網(wǎng)店，如果訂單通過，則驗(yàn)證該卡是否有效。如果失敗，它將記錄錯(cuò)誤并嘗試下一張卡。

打開網(wǎng)易新聞 查看精彩圖片

打印的交易結(jié)果

使用這樣的工具，威脅者能夠以自動(dòng)化的方式對(duì)大量被盜信用卡執(zhí)行驗(yàn)證。這些經(jīng)過驗(yàn)證的信用卡可能會(huì)被濫用來進(jìn)行金融欺詐或在網(wǎng)絡(luò)犯罪市場(chǎng)上出售。

打開網(wǎng)易新聞 查看精彩圖片

這種端到端結(jié)帳模擬過程對(duì)于目標(biāo)網(wǎng)站上的欺詐檢測(cè)系統(tǒng)來說尤其難以檢測(cè)。

“整個(gè)工作流程——從收集產(chǎn)品id和結(jié)帳令牌，到將被盜的卡數(shù)據(jù)發(fā)送給惡意的第三方，再到模擬完整的結(jié)帳流程——都是高度有針對(duì)性和有條不紊的，”Socket說。

它被設(shè)計(jì)成融入正常的交通模式，使得傳統(tǒng)的欺詐檢測(cè)系統(tǒng)難以檢測(cè)到。

不過，Socket表示，有一些方法可以緩解這個(gè)問題，比如阻止價(jià)值低于5美元的訂單，這通常用于梳理攻擊，監(jiān)控多個(gè)失敗率異常高的小訂單，或者與單個(gè)IP地址或地區(qū)相關(guān)的高結(jié)帳量。

Socket還建議在結(jié)帳流程中添加CAPTCHA步驟，這可能會(huì)中斷整理腳本的操作，以及在結(jié)帳和支付端點(diǎn)上應(yīng)用速率限制。

參考及來源：https://www.bleepingcomputer.com/news/security/carding-tool-abusing-woocommerce-api-downloaded-34k-times-on-pypi/