Ερευνητές της Malwarebytes, εντόπισαν το malware Magecart (web data skimmer) σε online store, με τον κακόβουλο κώδικα να έχει φορτωθεί στις πληροφορίες EXIF των μεταδεδομένων εικόνων. Αυτός ο τρόπος μόλυνσης δεν είναι νέος, αφού είναι γνωστό πως ανάλογες επιθέσεις έχουν γίνει και με χρήση favicons.
Αυτό που εντόπισαν οι ερευνητές όμως είναι μια νέου τύπου επίθεση, που εκμεταλλεύεται το WooCommerce plugin για WordPress -ένα δημοφιλές plugin για online stores. Μετά την εισαγωγή του Magecart, αυτό υποκλέπτει τα στοιχεία πληρωμής του πελάτη από το online store -ονοματεπώνυμο, στοιχεία διεύθυνσης και στοιχεία πληρωμής.
Αναλυτικά στο Malwarebytes blogWhen we first investigated this campaign, we thought it may be another one of those favicon tricks, which we had described in a previous blog. However, it turned out to be different and even more devious.
We found skimming code hidden within the metadata of an image file (a form of steganography) and surreptitiously loaded by compromised online stores. This scheme would not be complete without yet another interesting variation to exfiltrate stolen credit card data. Once again, criminals used the disguise of an image file to collect their loot.
During this research, we came across the source code for this skimmer which confirmed what we were seeing via client-side JavaScript. We also identified connections to other scripts based on various data points.
Εμφάνιση 1-3 από 3
-
27-06-20, 11:02 Malwarebytes: εντοπισμός data skimmer στο EXIF αρχείων εικόνας #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.762
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
28-06-20, 09:40 Απάντηση: Malwarebytes: εντοπισμός data skimmer στο EXIF αρχείων εικόνας #2
δλδ πάμε να πάρουμε κάτι από Ali και μας κλέβει την κάρτα;
Portable CD player
-
01-07-20, 22:00 Απάντηση: Malwarebytes: εντοπισμός data skimmer στο EXIF αρχείων εικόνας #3
Αυτό καταλαβαίνω κι εγώ. Αναρωτιέμαι όμως για το εξής: Ο κακόβουλος κώδικας βρίσκεται μέσα στις πληροφορίες EXIF και ο εκάστοτε browser πάει κι εκτελεί αυτόν τον κώδικα; Αν όντως είναι έτσι, κρίνω πως το πρόβλημα είναι στον browser που εκτελεί κώδικα εκεί που δεν πρέπει. Εκτός φυσικά κι αν υπάρχει κι άλλη μόλυνση, όπως π.χ. σε τροποποιημένο αρχείο Javascript στον κανονικό server, που καλεί κάποιο κακόβουλο αρχείο που περιέχει τις πληροφορίες EXIF. Σε αυτή την περίπτωση όμως, πώς ακριβώς τροποποιήθηκε το αρχικό αρχείο Javascript;
Bookmarks