戴头罩的、男人、黑 严重警报 客、手指、触摸、平板电脑、手中、双重、曝光
作者：Source Defense

一个针对电子商务支付流程的复杂攻击链被提前曝光，这一令人担忧的发展凸显了负责任的披露与公共安全之间的微妙平衡。该漏洞最初由 Source Defense 的研究团队发现，并于 2024 年 11 月 19 日负责任地向 Google 披露（问题 ID：379818473），现在已被另一家供应商公开披露，可能为威胁行为者提供强大的新攻击媒介。

支付安全领域的突破性发展

我们的研究 whatsapp 号码数据 团队发现了一个极其复杂的攻击链，它从根本上改变了威胁行为者滥用可信基础设施的方式。这不仅仅是 Magecart 的另一种变体，它代表了攻击者如何利用我们赖以安全的信任机制进行武器化的令人担忧的演变。

该攻击利用一系列复杂的受信任 Google 域请求来执行恶意代码，同时保持完美的伪装。我们观察到威胁行为者通过多个端点链接请求这项技术在绕过传统安全控制方面表现出了前所未有的复杂性：

该链条如何运作的两个例子：

信任利用：利用 Google 的域名信誉绕过安全过滤器
动态执行：链接多 为什么要关注工作与生活的界限，而不是平衡 个合法服务以保持持久性
隐身机制：将恶意活动与合法流量模式相结合
攻击概述
攻击始于黑客向网站注入恶意 JavaScript。这可以通过两种主要方法实现：

直接攻击：黑客未经授权访问网站的源代码，直接注入恶意脚本。
第三方服务利用：黑客破坏网站使用的第三方服务（例如分析、聊天小部件或其他外部库）以间接注入恶意脚本。
一旦脚本被注入，它就会指向一个 Google 域，利用特定漏洞将恶意 JavaScript 链接到 Google 的响应中。该攻击似乎源自一个受信任的 Google 域，因此极难检测和阻止。

工作原理：

当注入的脚本向 Google 发 加拿大數據 送请求时，响应中包含伪装成合法 Google 域一部分的恶意脚本。由于在响应中使用了 eval() 函数，恶意代码会在页面上自动执行，从而引发进一步的攻击，例如数据窃取或用户重定向。

攻击影响：

这种方法允许黑客绕过关键的安全措施：

内容安全策略 (CSP)：由于该脚本似乎来自 Google，因此允许 Google 域的 CSP 规则被绕过。
基于代理的检测：代理将流量视为对 Google 的合法请求，并且不会阻止它们。
进一步利用：
一旦恶意脚本运行，它可以将用户重定向到钓鱼网站，例如虚假的支付页面，以收集敏感数据。