【安全资讯】Water Pamola活动，利用XSS跨站点脚本攻击在线商店平台

自2019年以来，研究人员一直在追踪一个被称为“Water Pamola”的恶意活动。该活动最初通过带有恶意附件的垃圾邮件进行传播，并攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。但是，自2020年初以来，该活动的受害者主要出现在日本境内，并且不再通过垃圾邮件进行传播，而是当管理员在其在线商店的管理面板中查看客户订单时，将会执行恶意脚本。

在进一步搜索后，研究人员注意到一家在线商店管理员访问了一个奇怪的在线订单，该订单包含通常会在客户地址或公司名称所在的字段中插入JavaScript代码。该脚本很可能是通过利用该商店的管理门户中的跨网站脚本（XSS）漏洞来执行的。该脚本连接到Water Pamola的服务器，并下载其他有效载荷。研究人员确定Water Pamola会使用此嵌入式XSS脚本在许多在线商店下订单。如果它们容易受到XSS攻击，它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。

Water Pamola恶意活动的攻击链如下：

  Water Pamola恶意活动的攻击链  

脚本执行的恶意行为包括页面抓取、凭据网络钓鱼、Web Shell感染和恶意软件传递。页面抓取可以使攻击者了解环境并设计适合受害者环境的攻击脚本。凭据网络钓鱼则是通过仿冒电子商务网站登录界面，窃取网站管理员凭据。Web Shell感染针对使用EC-CUBE框架构建的网站，攻击者可以通过调用框架提供的本机API来上传PHP Web Shell文件、修改页面标头以注入PHP代码或者在电子商务框架中安装一个名为“MakePlugin.tar.gz”的恶意插件来完成感染。

攻击者脚本将提示用户更新Flash软件，一旦同意，受害者将重定向到攻击者控制的虚假Flash安装程序下载网站，最终安装Gh0stRat。该RAT的代码基于泄漏的Gh0st RAT源代码，其流量加密是自定义的，并且增加了一些新功能，例如QQ号码盗窃。

建议

Water Pamola通过将XSS脚本附加到在线购物订单上来攻击在线商家。研究人员建议管理员更新网站上使用的所有电子商务平台的版本，以防止任何潜在的漏洞，包括XSS攻击。检测恶意文件和垃圾邮件以及阻止所有相关的恶意URL可以保护用户和企业免受攻击。