自2019年以来，趋势科技的研究人员一直在追踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。
 
但是，自2020年初以来，研究人员注意到Water Pamola的活动发生了一些变化。现在，受害者主要只在日本境内。最近的跟踪数据表明，攻击不再通过垃圾邮件发起。相反，当管理员在其在线商店的管理面板中查看客户订单时，就会执行恶意脚本。
 
XSS攻击分析
 
如上所述，Water Pamola发送了带有恶意XSS脚本的在线购物订单，以攻击电子商务网站的管理员。
 
值得一提的是，它们并不是针对特定的电子商务框架，而是针对整个电子商务系统。如果商店的电子商务系统容易受到XSS攻击，那么一旦有人(如系统管理员或商店员工)打开订单，就会在商家的管理面板上加载并执行恶意脚本。
 
这些脚本使用名为“XSS.ME”的XSS攻击框架进行管理，该框架可帮助攻击者处理其攻击脚本和被盗信息。该框架的源代码在许多中国公共论坛中被共享。该框架提供的基本攻击脚本可以报告受害者的位置和浏览器Cookie。研究人员观察到攻击期间使用的脚本是自定义的。攻击者提供了多种不同的XSS脚本，其中可能包括以下一种或多种行为：
 
网页获取工具
 
该脚本将HTTP GET请求发送到指定的URL地址，并将收到的响应转发到Water Pamola的服务器。通常在攻击的早期阶段使用它来从受害者的管理页面中获取内容，这样做可以使攻击者了解环境并设计适合受害者环境的攻击脚本。