在過去的兩年里，網絡犯罪分子使用了各種各樣的方法來在網上商城的各個地方隱藏針對Credit Card的信息竊取代碼，以防止被安全檢測方案所發現，而這些信息竊取代碼也被稱之為Web Skimmer或Magecart腳本。

在此之前，研究人員曾在網站Logo、縮略圖標、內部圖像、實時聊天窗口、社交媒體分享按鈕以及熱門JavaScript庫中發現過Web Skimmer的身影。但是，最近發現的惡意代碼宿主已經涉及到了CSS文件了。

CSS文件代表層疊樣式表，在瀏覽器內使用CSS文件可以加載各種規則以對網頁元素進行樣式化定義。這些CSS文件通常包含描述各種頁面元素的顏色、文本大小、各種元素之間的填充、字體設置等的相關代碼。

然而，現在的CSS已經不是21世紀初的樣子了。在在過去的十年里，CSS語言已經發展成為了一種強大的實用工具，Web開發人員現在正在使用它來創建強大的動畫，而很少甚至幾乎沒有人會選擇使用JavaScript。

CSS語言最近增加的一個功能，即添加CSS變量，這種變量可以用于存儲某些之后需要復用或調用的內容。

荷蘭安全公司Sanguine Security(SanSec)的創始人Willem de Groot表示，目前至少有一個網絡犯罪團伙正在使用CSS變量來進行攻擊。Web skimmer團伙首先會獲取一個在線商店的訪問權限，然后修改其CSS和JavaScript文件，并向其中注入惡意代碼。

在CSS代碼中，他們會添加一個CSS變量，這個變量中存儲的是他們需要在被攻擊商店中加載Web Skimmer代碼的URL地址，而這個CSS變量會通過一個看似無害的JavaScript代碼(注入到在線商店中的其他地方)中進行調用。

下圖顯示的是CSS文件中的CSS變量：

下圖顯示的是JavaScript代碼調用CSS變量的代碼段：

Web安全工具通常只掃描JavaScript代碼，而不會掃描CSS文件。除此之外，它們只會掃描JavaScript代碼的靜態版本，而并不會實際執行這些JavaScript腳本。

這樣做是為了避免在網上商店里制造空的購物車或影響在線商店的分析平臺。這也就意味著，隱藏在CSS變量中的惡意代碼在大多數平臺上都不會被發現，即使這些網站使用了功能強大的Web應用程序防火墻和Web安全掃描器。

Willem de Groot表示，他們在最新發現的Web Skimmer代碼之中，發現了一個標準的鍵盤記錄程序。自從通過Twitter發布了相關報告之后，它似乎在一個小時之后就被下線了。他說到：“我們還發現了一些其他受此技術感染的在線商店，然而這些基礎設施自今年9月份以來貌似就已經上線了，因為此前還有十多次傳統攻擊也使用過這些基礎設施。由此我們推斷，這些CSS文件貌似是攻擊者進行新技術實驗的一個部分。”

盡管這種通過使用CSS規則作為代理來加載Web Skimmer代碼的技術無疑是一種創新，但Willem de Groot也表示在線商店的店主或者在線購物用戶其實并不用過多的擔心。他表示：“雖然大多數研究都涉及到了JavaScript Skimming攻擊，但大部分的Skimming都發生在服務器上，而我們是無法在服務器上觀察到相關攻擊行為的。在今年我們所進行的取證調查活動中，我們發現在65%的攻擊情況下，服務器端Skimmer代碼隱藏在數據庫、PHP代碼或Linux系統進程之中。”

正如ZDNet周一在一篇關于SanSec另一項調查結果的文章中所解釋的那樣，購物者保護自己免受Web Skimmer攻擊的最簡單方法就是使用為一次性付款設計的虛擬支付卡。這些卡片由一些銀行或在線支付服務商提供，允許購物者在虛擬卡片中存入一筆固定金額的錢，該卡在一次交易或一小段時間后將會到期。如果卡片的詳細信息被攻擊者竊取，那么一旦虛擬卡過期，卡片數據將不再有效。

原文地址：https://www.freebuf.com/articles/web/258971.html