黑客在网站图标EXIF数据中隐藏信用卡窃取脚本

作者:安数网络 发布时间:2020-06-29 17:31:23 浏览次数:55

黑客总是在不断改进他们的策略,以保持领先于安全公司。而在网站图标的EXIF数据中隐藏恶意信用卡窃取脚本,以逃避检测,就是一个很好的例子。

窃取信用卡的常见攻击手段是入侵网站,并注入恶意JavaScript脚本,这些脚本会在客户进行购买时窃取他们提交的付款信息。

然后,这些被盗的信用卡信息被发送到黑客们控制下的服务器上,在此处收集起来,并用于欺诈性购买或在黑网犯罪市场上出售。

在新报告中显示,一家使用WordPress  WooCommerce插件的在线商店被发现感染了Magecart脚本,从而窃取了客户的信用卡。

让这次攻击脱颖而出的是,用于从支付表单捕获数据的脚本并没有直接添加到网页代码中,而是包含在远程站点的收藏夹图像的EXIF数据中。

Malwarebytes的JérômeSegura 在报告中说:“滥用图片标题来隐藏恶意代码并不是什么新鲜事,但这是我们第一次目睹信用卡被窃取这种情况”。

当创建图像时,开发人员可以嵌入信息,例如创建图像的艺术家、有关相机的信息、版权信息,甚至图片的位置。信息称为可交换图像文件格式(EXIF)数据。

在此次攻击中,威胁分子侵入了一个网站,并添加了一个看似简单的脚本,该脚本插入了一个远程网站图标,并进行了一些处理。

进一步调查后,Malwarebytes发现这个图标虽然看似无害,但实际上包含嵌入在其EXIF数据中的恶意JavaScript脚本,如下图所示。

一旦Favicon图像加载到页面中,黑客添加到网站的脚本就会加载该图像嵌入的恶意掠夺器脚本。

一旦加载了这些脚本,在结账页面上提交的任何信用卡信息都会发回给攻击者,攻击者可以在那里从容不迫地收集这些信息。

由于这些恶意窃取脚本并不包含在被黑客攻击的网站本身,因此安全软件甚至网页开发人员更难注意到可能出了问题。

MalwareBytes能够找到用于创建和执行此Magecart攻击的工具包。经过进一步分析,确定这次攻击可能与一个名为Magecart 9的威胁行为组织有关。


来源:bleepingcomputer


及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用