Water Pamola通过恶意订单对电商发起攻击

自2019年以来，趋势科技的研究人员一直在追踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。

但是，自2020年初以来，研究人员注意到Water Pamola的活动发生了一些变化。现在，受害者主要只在日本境内。最近的跟踪数据表明，攻击不再通过垃圾邮件发起。相反，当管理员在其在线商店的管理面板中查看客户订单时，就会执行恶意脚本。

Water Pamola攻击链

在进一步搜索后，研究人员注意到一家在线商店管理员询问了一个奇怪的在线订单，该订单包含通常会在客户地址或公司名称所在的字段中插入的JavaScript代码。该脚本很可能是通过利用该商店的管理门户中的跨网站脚本（XSS）漏洞来激活的。

在论坛上提出的问题，其中显示了与Pamola水有关的有效载荷

上面是论坛中文本的屏幕截图，由Google翻译为“问题”，其中的某个命令似乎是一个恶作剧的命令，地址和公司名称中包含以下字符。

该脚本连接到Water Pamola的服务器，并下载其他有效载荷。综上所述，这使研究人员相信Water Pamola会使用此嵌入式XSS脚本在许多目标在线商店下订单。如果它们容易受到XSS攻击，它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。

研究人员收集了许多攻击脚本，它们已传播给不同的目标。脚本执行的恶意行为包括页面获取、凭据网络钓鱼、Web Shell感染和恶意软件传播。

此活动似乎是出于经济动机，在至少一个实例中，Water Pamola后来遭到攻击的网站透漏他们遭受了数据泄漏。他们的服务器被非法访问，包括姓名、信用卡号、到期日期和信用卡安全码在内的个人信息可能被泄漏。此攻击行为可能与Water Pamola有关，它暗示此攻击活动的最终目标是窃取信用卡数据（类似于Magecart攻击活动）。

XSS攻击分析

如上所述，Water Pamola发送了带有恶意XSS脚本的在线购物订单，以攻击电子商务网站的管理员。

值得一提的是，它们并不是针对特定的电子商务框架，而是针对整个电子商务系统。如果商店的电子商务系统容易受到XSS攻击，那么一旦有人(如系统管理员或商店员工)打开订单，就会在商家的管理面板上加载并执行恶意脚本。

这些脚本使用名为“XSS.ME”的XSS攻击框架进行管理，该框架可帮助攻击者处理其攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛中被共享。该框架提供的基本攻击脚本可以报告受害者的位置和浏览器Cookie。研究人员观察到攻击期间使用的脚本是自定义的。攻击者提供了多种不同的XSS脚本，其中可能包括以下一种或多种行为：

网页获取工具

该脚本将HTTP GET请求发送到指定的URL地址，并将收到的响应转发到Water Pamola的服务器。通常在攻击的早期阶段使用它来从受害者的管理页面中获取内容，这样做可以使攻击者了解环境并设计适合受害者环境的攻击脚本。

用于获取页面内容并将其发送回攻击者的脚本

凭据网络钓鱼

一些传播的脚本显示，该活动试图通过两种不同的方法为电子商务网站获得管理员资格。第一种方法涉及到向页面添加一个假的登录表单。脚本挂钩鼠标点击事件。如果受害者以伪造的形式输入凭据并点击页面上的任何位置，脚本将获取凭据，使用base64对其进行编码，用自定义子字符串替换一些字符，然后将这些字符上传到Water Pamola的服务器。

用于创建和删除伪造的登录表单以进行凭据网络钓鱼的脚本

另一种方法包括显示授权错误消息，然后将用户重定向到一个钓鱼网站，该网站要求用户输入他们的凭据。他们的钓鱼网站的子域名被配置为与目标的域名匹配，例如“{victim’s domain}[.]basic-authentication[.]live”。

该脚本使用授权错误消息替换页面内容，并将用户重定向到钓鱼网站

Webshell/PHP后门注入

某些提供的恶意脚本试图将后门安装到使用EC-CUBE框架构建的网站上，该框架在日本很流行。研究人员发现的攻击仅适用于EC-CUBE的Series 2。当前版本是Series 4，Series 2现在也得到了扩展支持。

有三种不同的方法用于上传后门，第一种方法是通过调用框架提供的本机API来上传PHP Web Shell文件。 Web Shell文件的名称硬编码为" ec_ver.php "， " log3.php "或" temp.php "。 Web Shell可以执行HTTP POST请求发送给Web Shell的任何PHP代码。

请注意图6中的屏幕截图：这篇博客文章http://achineseboy.com/archives/49中提到了具有相同“only_pcd”关键字的相同web shell。该博客文章描述了一个由两个组件组成的web shell，一个PHP脚本和一个HTML上传文件，但是，不需要第二个组件，因为可以使用任何自定义或第三方工具（例如Fiddler）创建正确的POST请求。

用于将PHP Web Shell上传到电子商务网站的脚本

第二种方法是修改页面标头以注入PHP代码，然后该代码将执行HTTP请求中参数“ec_ver2update”发送的任何PHP代码。请注意，下面的PHP代码是模糊的。首先，$ IDFX变量使用XOR操作（请参见字符^）对字符串“create_function”进行解码，然后将所得的base64字符串解码为@eval（$ _ REQUEST ['ec_ver2update']），这是后门的代码。

用于修改商店页面标题以注入Web Shell的脚本

第三种方法是将嵌入在名为“MakePlugin.tar.gz”的文件中的恶意插件安装到电子商务框架。该插件旨在将多个PHP Web Shell文件拖放到服务器上。

用于上传和安装恶意插件的脚本“MakePlugin.tar.gz”

恶意插件安装几个带有web shell的文件

恶意软件传播

在这种情况下，攻击脚本将显示一个警告提示，并显示一条消息：“你的Flash版本太低，请安装最新版本，然后重试！”然后将受害者重定向到他们控制的虚假Flash安装程序下载网站。请注意，Adobe已于2020年12月31日宣布Flash结束使用。

如果受害者下载并执行从此页面下载的安装程序，则受害者将感染Gh0stRat恶意软件的一种变体，以前也称为Gh0stCringe或CineregRAT。该RAT的代码基于泄漏的Gh0st RAT源代码；但是，它的流量加密是自定义的，并且增加了一些新功能，例如QQ号码盗窃。与这次行动有关的Gh0st RAT样本是经过模糊处理的可执行文件，它可以解密内存中的主要有效载荷并执行其名为“Shellex”的主要输出功能。

该脚本显示错误消息并重定向到伪造的Flash安装程序

伪造的Flash安装程序下载网站

伪造的Flash安装程序的分析

如上所述，XSS攻击脚本将受害者重定向到伪造的Flash下载网站。点击“立即安装”按钮将下载一个.ZIP压缩文件，其中包含几个合法文件以及几个恶意文件，这些文件通常以DLL库的形式出现。当合法的可执行文件被执行时，这些库将被侧载。

下载的Flash安装程序包

在此示例中，AdobeAirFlashInstaller.exe（合法文件）会侧面加载xerces-c_2_1_0_0.dll（已修补的合法文件），然后再侧面加载ulibs.dll（恶意文件）。 Ulibs.dll加载Adob.dll，这是一个ZIP压缩文件。提取Adob.dll zip压缩文件的内容后，将显示并执行两个合法且经过签名的可执行文件，并且类似的侧载过程再次发生。

adobe .dll中的包

此时，svchost.exe（从腾讯重命名为合法并签名的Launcher.exe文件）会侧面加载Utility.dll（已修补的合法文件）。此修补程序文件包含一个名为.newimp（新导入）的新部分，它添加了一个引用oplib.dll库的新导入项，然后这个oplib.dll库被侧加载。

Oplib.dll的侧面加载

这个新的导入很可能是通过使用一个名为Stud_PE的实用程序手动添加的，这个实用程序有一个功能叫做“导入添加程序”，而“.newimp”是包含新添加导入的新添加部分的默认名称。然后，Olibi.dll从Windowsfiles目录中加载一个lib.DAT文件，对其内容进行解码和解密（来自十六进制字符串； XOR 0x42），然后将其加载到新创建的svchost.exe进程中。此外，还配置了通过注册表项和计划任务的持久性。

XOR例程和svchost注入

最后，此感染链的最后一个有效载荷是Gh0st RAT的变体。与C＆C的通信使用套接字，并使用简单的SUB 0x46，XOR 0x19方式进行加密。

加密C＆C通信的XOR例程

在此Gh0st RAT变体中发现了一个packetFlag“xy”

Gh0st RAT变体实现了用于窃取QQ Messenger用户信息的其他功能，例如，给定计算机上的用户列表及其QQ Messenger号码。

下面的代码会获取计算机上登录的QQ号。

用于获取用户QQ号的代码

如何保护电子商务平台免受Water Pamola的攻击

Water Pamola通过将XSS脚本附加到在线购物订单上来攻击在线商家。他们还进行了社会工程学攻击来伪造网络钓鱼凭证或提示下载远程访问工具，在线商店的管理员应该意识到，潜在的攻击不仅可能来自垃圾邮件，还可能来自不同的感染媒介。研究人员还建议管理员使网站上使用的任何电子商务平台的版本保持最新，以防止任何潜在的漏洞，包括XSS攻击。

通过检测恶意文件和垃圾邮件以及阻止所有相关的恶意URL，这些可以保护用户和企业免受攻击。