Sucuri安全公司研究人员发现攻击者可利用恶意代码从Magento(麦进斗)电商平台上盗取支付卡信息。

安全研究人员指出，攻击者似乎在利用Magento核心组件中的漏洞发动攻击，而且他们对平台的运作方式相当熟悉。攻击者能够收集到用户向Magento平台提交的所有信息以盗取信用卡数据，方法是将恶意代码注入网站，但具体操作流程不得而知。

安全研究人员表示，攻击者能够收集所有的POST请求，通过收集支付卡信息的恶意代码进行解析，支付卡信息随后被存储到虚假图像文件中以便进行加密及解密。

安全研究人员发现一个通过向Magento Checkout模块注入代码以盗取Magento数据的恶意代码样本。支付卡信息会在交易处理之前进行收集，随后通过电子邮件的方式以明文形式返回给攻击者。

研究人员认为攻击者对Magento平台的了解很深刻。攻击者了解模块的运作方式以及构建模块的代码，他所需做的就是利用模块自身的变量，而变量中存储的所有敏感数据都未受保护。为了不被发现，攻击者使用的攻击将痕迹删除并且伪造用户代理。它还会修改图像文件的时间戳并写出虚假的JPEG头。

此前，Sucuri公司曾从Magento票据模块中发现其票据信息被以明文形式盗取的漏洞，不过严重程度要比本次攻击低。

(责任编辑：安博涛)