RiskIQ透露，被追踪为“第7组” 的Magecart威胁一直在使用分离器创建iframe来窃取支付卡数据。

自一月以来，观察到了各种形式的分离器，具有不同程度的混淆，迄今已确定了19个不同的受害者站点。在某些情况下，受感染的网站被滥用来托管撇取代码，将代码加载到受感染的网站上，并窃取被盗数据。

RiskIQ将其称为MakeFrame的分离器具有十六进制编码的字符串和多层混淆功能，以及采用了对美化工具进行检查的反分析技术（可使威胁分析人员更容易阅读代码）。如果代码已被美化，则无法正确执行。

“这项检查意味着研究人员如果想对代码进行模糊处理，就必须处理它们。” 对于经历过混淆处理的分析师而言，这只会花费更多时间。对于那些不熟悉的人，这可能会阻止他们弄清楚代码在做什么。” RiskIQ解释说。

对恶意代码的分析揭示了直接引用创建iframe来浏览支付数据的对象。创建iframe，以便受害者将付款数据输入其中。调用一个特定的功能来格式化伪造的付款表格，而另一个则创建“提交”按钮。

因此，如果受害者填写了表格，然后按下“提交”按钮，则卡片数据将被略读。

RiskIQ的安全研究人员发现了三种截取器的不同版本，包括运行调试过程的开发中版本，甚至包括版本号。

观察到该撇渣器托管在迄今为止确定的所有19个受感染域中，并且被盗数据已发送到同一服务器或另一个受感染的域。

“这种渗透方法与Magecart Group 7使用的方法相同，将窃取的数据作为.php文件发送到其他受感染的站点进行渗透。研究人员解释说，每个用于数据泄露的受损站点也被注入了撇渣器，并且还用于托管加载到其他受害站点上的掠夺代码。

在技术和代码构造上的相似之处使RiskIQ得出结论，认为Magecart Group 7在新分离器的背后。

研究人员还能够将分离器链接到运行Debian，Apache和OpenSSH的两个IP，这两个IP由法国云计算和网络托管公司Online SAS拥有。

在当前的COVID-19大流行中，Magecart攻击事件增加了20％，这可能是由于人们在家工作导致在线购物的增加。

“来自第7组的最新分离器说明了他们的不断发展，磨练久经考验的真实技术并一直在开发新技术。他们并不是一个人努力改善，坚持和扩大自己的影响力。” RiskIQ指出。