自 2019 年以来，研究人员一直在追踪名为“The .”的恶意活动。 该活动最初通过带有恶意附件的垃圾邮件传播网站安全之php防止注入攻击代码，并袭击了日本、澳大利亚和欧洲国家/地区的电子商务在线商店。 然而，自 2020 年初以来，该活动的受害者主要出现在日本网站安全之php防止注入攻击代码，不再通过垃圾邮件传播，而是在管理员在其在线商店的管理面板中查看客户订单时执行恶意脚本。

进一步搜索后，研究人员注意到一位在线商店管理员访问了一份奇怪的在线订单，其中包含一个代码，该代码通常会插入客户地址或公司名称所在的字段中。 该脚本可能是利用商店管理门户中的跨站点脚本 (XSS) 漏洞执行的。 脚本连接到并下载额外负载的服务器。 研究人员确定，这个嵌入式 XSS 脚本被用于在许多在线商店下订单。 如果它们容易受到 XSS 攻击，它们将在受害者（即目标商家的管理员）在其管理面板中打开订单时加载。

恶意活动的攻击链如下：

恶意活动的攻击链

脚本执行的恶意操作包括页面抓取、凭据网络钓鱼、Web 感染和恶意软件传递。 页面抓取允许攻击者了解环境并设计适合受害者环境的攻击脚本。 凭据网络钓鱼涉及通过欺骗电子商务网站的登录界面来窃取网站管理员凭据。 Web 感染针对使用 EC-CUBE 框架构建的网站。 攻击者可以通过调用框架提供的原生API上传PHP网页文件，修改页面头部注入PHP代码，或者在电商框架中安装名为“.tar”的文件。 .gz”完成感染。

攻击者脚本会提示用户更新软件网站开发，一旦他们同意网站模板，受害者将被重定向到一个由攻击者控制的虚假安装程序下载站点进行最终安装。 该RAT的代码基于泄露的RAT源码，定制了流量加密，并增加了一些新的功能，如QQ号码盗用。

建议

通过将 XSS 脚本附加到在线购物订单来攻击在线商家。 研究人员建议管理员更新网站上使用的所有电子商务平台的版本，以防止任何潜在的漏洞，包括 XSS 攻击。 检测恶意文件和垃圾邮件并阻止所有相关的恶意 URL 保护用户和企业免受攻击。

（每日更新整理国内外威胁情报预警，帮助威胁研究人员及时了解和追踪相关威胁事件）

安恒威胁情报中心：专注于提供威胁数据与分析服务