黑客将信用卡窃取脚本隐藏在收藏图元数据中

2020-06-29 03:21:58

黑客总是在不断改进他们的策略,以保持领先于安全公司一步。一个很好的例子就是在Favicon图像的EXIF数据中隐藏恶意信用卡窃取脚本以逃避检测。

用于窃取信用卡的一种常见攻击是侵入网站,并注入恶意JavaScript脚本,这些脚本在客户进行购买时窃取他们提交的支付信息。

然后,这些被盗信用卡被送回受威胁行为者控制的服务器,在那里它们被收集起来,用于欺诈性购买或在黑暗的网络犯罪市场上出售。

这些类型的攻击被称为Magecart,已经被克莱尔百货、特百惠、美国史密斯和韦森、梅西百货和英国航空公司等知名公司的网站使用。

在Malwarebytes的一份新报告中,一家使用WordPress WooCommerce插件的在线商店被发现感染了Magecart脚本,从而窃取了客户的信用卡。

让这次攻击脱颖而出的是,用于从支付表单捕获数据的脚本没有直接添加到站点中,而是包含在远程站点的收藏夹图标图像的EXIF数据中。

滥用图片标题来隐藏恶意代码并不是什么新鲜事,但这是我们第一次用信用卡掠夺器目睹这种情况,杰罗姆·塞古拉(Jérôme Segura)在报告中表示,Malwarebytes';Jérôme Segura在报告中表示。

当创建图像时,开发人员可以嵌入信息,如创建它的艺术家、有关相机的信息、版权信息,甚至图片的位置。

在这次攻击中,威胁分子侵入了一个网站,并添加了一个看似简单的脚本,该脚本插入了一个远程收藏图标图像,并进行了一些处理。

进一步调查后,Malwarebytes发现这个图标虽然看似无害,但实际上包含嵌入在其EXIF数据中的恶意JavaScript脚本,如下图所示。

一旦Favicon图像加载到页面中,黑客添加到网站的脚本就会加载该图像嵌入的恶意掠夺器脚本。

一旦加载了这些脚本,在结账页面上提交的任何信用卡信息都会发回给攻击者,攻击者可以在那里从容不迫地收集这些信息。

由于这些恶意盗卡脚本并不包含在被黑客攻击的网站本身,因此安全软件甚至网页开发人员更难注意到可能出了问题。

MalwareBytes能够找到用于创建和执行此Magecart攻击的工具包。经过进一步分析,确定这次攻击可能与一个名为Magecart 9;的威胁行为人组织有关。

这一群体过去曾与其他聪明的技术联系在一起,比如使用网络插口来逃避检测。