位于纽约州库珀斯敦的国家棒球名人堂的网站被黑客入侵，其中包括了一个恶意的MageCart脚本，该脚本窃取了在网站上购买商品的客户的支付信息。

根据加州安全漏洞通知服务提交的通知，美国国家棒球名人堂网站在2018年11月15日至2019年5月14日期间向其在线商店注入了恶意脚本。 

国家棒球名人堂(“名人堂”)重视并尊重您的信息隐私，这就是为什么我们写信通知您，最近可能涉及您的一些个人信息的事件。

通知提醒受影响的用户，

2019年6月18日，我们了解到您的一些信息可能是由未经授权的第三方获取的，该第三方将恶意计算机代码放置在名人堂网站商店(shop.baseballhall.org)电子商务系统上。该代码可能针对在2018年11月15日至2019年5月14日期间通过网上商店购买信用卡的客户的某些个人信息。

可能被窃取的信息包括客户的姓名、地址和信用卡或借记卡信息，包括CVV代码。应该注意的是，这次攻击只影响了从网站购买物品的顾客，而不是博物馆本身。您从国家棒球名人堂网站(https://baseballhall.org/)购买任何物品，都应向您的信用卡公司报告情况，并监控您的声明是否存在欺诈购买行为。 

MageCart攻击窃取的付款信息

攻击者获得了进入名人堂网站的访问权限以后，在网站上注入了一个恶意脚本，这个恶意脚本用于监控提交的付款信息，然后将其转发给攻击者。虽然该网站上的脚本不再处于活动状态，但BleepingComputer能够在Archive.org上的快照中找到该代码。从下图中可以看出，攻击者乍看之下插入的是Google Analytics脚本。 但是，如果您仔细观察，则会从www.googletagstorage.com上读取相关脚本。

虽然域表明它属于谷歌，但www.googletagstorage.com实际上并没有注册到它们，而是解析为位于立陶宛的一个IP地址。在过去的其他攻击中也使用过相同的主机，如AlienVault上的IOCs和IBM的Xforce Exchange。该脚本的构建看起来像一个合法的谷歌分析脚本，但是如果您分析它，您可以看到它正在监视商店的账单表单，该表单的ID为“co-billing-form”。

虽然没有确认这是同一组，但此攻击中使用的方法类似于之前在RiskIQ报告中描述的MageCart Group 4。

本文翻译自：https://www.bleepingcomputer.com/news/security/national-baseball-hall-of-fame-hit-by-payment-card-stealing-attack/如若转载，请注明原文地址： https://www.4hou.com/technology/19623.html