自 2019 年以来，趋势科技的研究人员一直在追踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。

但是，自 2020 年初以来，研究人员注意到 Water Pamola 的活动发生了一些变化。现在，受害者主要只在日本境内。最近的跟踪数据表明，攻击不再通过垃圾邮件发起。相反，当管理员在其在线商店的管理面板中查看客户订单时，就会执行恶意脚本。

在进一步搜索后，研究人员注意到一家在线商店管理员询问了一个奇怪的在线订单，该订单包含通常会在客户地址或公司名称所在的字段中插入的 JavaScript 代码。该脚本很可能是通过利用该商店的管理门户中的跨网站脚本（XSS）漏洞来激活的。

在论坛上提出的问题，其中显示了与 Pamola 水有关的有效载荷

上面是论坛中文本的屏幕截图，由 Google 翻译为“问题”，其中的某个命令似乎是一个恶作剧的命令，地址和公司名称中包含以下字符。

该脚本连接到 Water Pamola 的服务器，并下载其他有效载荷。综上所述，这使研究人员相信 Water Pamola 会使用此嵌入式 XSS 脚本在许多目标在线商店下订单。如果它们容易受到 XSS 攻击，它们将在受害者(即目标商家的管理员)在其管理面板中打开订单时加载。

研究人员收集了许多攻击脚本，它们已传播给不同的目标。脚本执行的恶意行为包括页面获取、凭据网络钓鱼、Web Shell 感染和恶意软件传播。

此活动似乎是出于经济动机，在至少一个实例中，Water Pamola 后来遭到攻击的网站透漏他们遭受了数据泄漏。他们的服务器被非法访问，包括姓名、信用卡号、到期日期和信用卡安全码在内的个人信息可能被泄漏。此攻击行为可能与 Water Pamola 有关，它暗示此攻击活动的最终目标是窃取信用卡数据（类似于 Magecart 攻击活动）。

XSS 攻击分析

如上所述，Water Pamola 发送了带有恶意 XSS 脚本的在线购物订单，以攻击电子商务网站的管理员。

值得一提的是，它们并不是针对特定的电子商务框架，而是针对整个电子商务系统。如果商店的电子商务系统容易受到 XSS 攻击，那么一旦有人(如系统管理员或商店员工)打开订单，就会在商家的管理面板上加载并执行恶意脚本。

这些脚本使用名为“XSS.ME”的 XSS 攻击框架进行管理，该框架可帮助攻击者处理其攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛中被共享。该框架提供的基本攻击脚本可以报告受害者的位置和浏览器 Cookie。研究人员观察到攻击期间使用的脚本是自定义的。攻击者提供了多种不同的 XSS 脚本，其中可能包括以下一种或多种行为：

网页获取工具

该脚本将 HTTP GET 请求发送到指定的 URL 地址，并将收到的响应转发到 Water Pamola 的服务器。通常在攻击的早期阶段使用它来从受害者的管理页面中获取内容，这样做可以使攻击者了解环境并设计适合受害者环境的攻击脚本。

用于获取页面内容并将其发送回攻击者的脚本

凭据网络钓鱼

一些传播的脚本显示，该活动试图通过两种不同的方法为电子商务网站获得管理员资格。第一种方法涉及到向页面添加一个假的登录表单。脚本挂钩鼠标点击事件。如果受害者以伪造的形式输入凭据并点击页面上的任何位置，脚本将获取凭据，使用 base64 对其进行编码，用自定义子字符串替换一些字符，然后将这些字符上传到 Water Pamola 的服务器。

用于创建和删除伪造的登录表单以进行凭据网络钓鱼的脚本

另一种方法包括显示授权错误消息，然后将用户重定向到一个钓鱼网站，该网站要求用户输入他们的凭据。他们的钓鱼网站的子域名被配置为与目标的域名匹配，例如“{victim’s domain}[.]basic-authentication[.]live”。

Webshell/PHP 后门注入

某些提供的恶意脚本试图将后门安装到使用 EC-CUBE 框架构建的网站上，该框架在日本很流行。研究人员发现的攻击仅适用于 EC-CUBE 的 Series 2。当前版本是 Series 4，Series 2 现在也得到了扩展支持。

有三种不同的方法用于上传后门，第一种方法是通过调用框架提供的本机 API 来上传 PHP Web Shell 文件。 Web Shell 文件的名称硬编码为" ec_ver.php "， " log3.php “或” temp.php "。 Web Shell 可以执行 HTTP POST 请求发送给 Web Shell 的任何 PHP 代码。

请注意图 6 中的屏幕截图：这篇博客文章http://achineseboy.com/archives/49中提到了具有相同“only_pcd”关键字的相同 web shell。该博客文章描述了一个由两个组件组成的 web shell，一个 PHP 脚本和一个 HTML 上传文件，但是，不需要第二个组件，因为可以使用任何自定义或第三方工具（例如 Fiddler）创建正确的 POST 请求。

用于将 PHP Web Shell 上传到电子商务网站的脚本

第二种方法是修改页面标头以注入 PHP 代码，然后该代码将执行 HTTP 请求中参数“ec_ver2update”发送的任何 PHP 代码。请注意，下面的 PHP 代码是模糊的。首先，$ IDFX 变量使用 XOR 操作（请参见字符^）对字符串“create_function”进行解码，然后将所得的 base64 字符串解码为 @eval（$ _ REQUEST [‘ec_ver2update’]），这是后门的代码。

用于修改商店页面标题以注入 Web Shell 的脚本

第三种方法是将嵌入在名为“MakePlugin.tar.gz”的文件中的恶意插件安装到电子商务框架。该插件旨在将多个 PHP Web Shell 文件拖放到服务器上。

用于上传和安装恶意插件的脚本“MakePlugin.tar.gz”

恶意插件安装几个带有 web shell 的文件

恶意软件传播

在这种情况下，攻击脚本将显示一个警告提示，并显示一条消息：“你的 Flash 版本太低，请安装最新版本，然后重试！”然后将受害者重定向到他们控制的虚假 Flash 安装程序下载网站。请注意，Adobe 已于 2020 年 12 月 31 日宣布 Flash 结束使用。

如果受害者下载并执行从此页面下载的安装程序，则受害者将感染 Gh0stRat 恶意软件的一种变体，以前也称为 Gh0stCringe 或 CineregRAT。该 RAT 的代码基于泄漏的 Gh0st RAT 源代码；但是，它的流量加密是自定义的，并且增加了一些新功能，例如 QQ 号码盗窃。与这次行动有关的 Gh0st RAT 样本是经过模糊处理的可执行文件，它可以解密内存中的主要有效载荷并执行其名为“Shellex”的主要输出功能。

该脚本显示错误消息并重定向到伪造的 Flash 安装程序