与俄罗斯有联系的网络罪犯正在破坏其大型数据库的工业级路由器。安全研究人员观察到，Magecart撇渣器正被广泛用于旨在支持公共访问网络的路由器上，以窃取付款信息​​。

这些发现是由IBM X-Force IRIS团队的专家得出的，并且特别涉及第7层(L7)路由器，这些路由器通常由酒店等企业部署，因此许多客户可以一次访问网络。

研究人员说，针对网络犯罪分子来说，针对使用L7路由器的行业是常见的做法，因为“他们拥有丰富的客户数据，其中通常还包括支付卡数据-这是Magecart集团的标志”。

与Magecart相关的恶意软件始于向网站中注入代码，在12个已知的Magecart关联组中，Magecart 5组(MG5)是最著名的，研究人员认为该组是路由器攻击的幕后黑手。

麦格卡特组织可能以对英国航空公司，Ticketmaster和Newegg的高姿态攻击而闻名，这是一次非常有利可图的劫机运动，这有助于ICO意图根据GDPR罚款1.83亿英镑。

研究人员基于两个JavaScript分离器文件样本将攻击归因于MG5，他们发现他们具有相同的作者，故意的命名方案以及俄罗斯穆里诺的上载位置。

这项调查的开始是在VirusTotal上找到了MG5链接的代码，这是黑帽最喜欢的黑帽，用于检查是否正在主动监视或检测到代码。

一个特别引起研究人员注意的脚本是“ test4.html”，该脚本的17个不同版本是从相同的小组和位置上载的，但进行了较小的改动。其中一些文件名带有“ catch”，这些文件似乎包含新插入的try-catch错误处理程序，以逃避检测。

它基于先前在2012年发现的旧脚本“ advnads20.js”，该脚本与先前(尽管是良性的)JavaScript将在线广告注入到通过酒店Wi-Fi访问的任何网页中(尽管是良性的)相关联。

Tripwire漏洞和IT Pro暴露研究团队的计算机安全研究员Craig Young表示：“将JavaScript有效载荷注入到毫无戒心的酒店客人的连接中，对于那些希望获取敏感数据或资源的骗子来说是一个巨大的胜利。”

“例如，考虑某人在出差到卫星办公室时从酒店使用WiFi。第二天早上，当同一台计算机连接到公司时，从该酒店WiFi加载的JavaScript可能实际上仍在执行(通过WebWorkers或打开的选项卡)现在，这种JavaScript可以在某种程度上通过毫无戒心的员工笔记本电脑将连接中继到网络资源。”

研究人员说，Magecart撇取者的目的是向L7路由器注入恶意Web资源，以及注入用户可能必须单击才能访问公共网络的恶意广告。这样，如果访客付款数据通过受感染的路由器浏览，就可能被盗。

IBM研究人员已告知电子商务网站和银行恶意攻击，并进行必要的更改以保护其客户。