Computerkriminelle har udtænkt en ny infektionsmekanisme, der indsætter viruskode i metadataene for billeder, der er uploadet til e-handelswebsteder og portaler. Denne metode er afhængig af, at koden gemmes i metadataene, som fortolkes og læses af brugersoftwaren, hvilket fører til udførelsen af et datastjævelskript.
Malware-webstedsbilleder indsat i e-handelswebsteder: Betalingskortdata kan kapres
En ny infektionsmetode er blevet udtænkt af en ukendt hackinggruppe ved at drage fordel af billeder og deres egenskaber. Hver billedfil indeholder metadata, der fortolkes af webbrowseren. Dette overskrider muligheden for at udføre scripts inden for applikationen. I den observerede kampagne blev den farlige kode placeret i filer, der er blevet uploadet til e-handelswebsteder. Der er to sandsynlige scenarier, der er mulige:
- Hackede portalsider — I dette tilfælde har hackerne været i stand til at infiltrere siderne og indsætte de relevante malware-inficerede filer.
- Upload af script — Nogle af de dynamiske funktioner på portalerne muliggør upload af billeder. Når de placeres på webstedet i de webvendte dele, som derefter kan få adgang til af seerne, initialiseres scriptet.
Den kriminelle gruppe(s) som ligger bag angrebene har udtænkt denne tilgang, da den udtrækker følsomme betalingsdata fra de relevante ordresider. Dette gøres ved at kapre de oplysninger, der er indtastet af besøgende på webstedet. Denne tilgang kommer efter, at flere lignende angreb er blevet gennemført, inklusive websteder, der er målrettet mod Magecart-websteder.
Ved yderligere undersøgelse fokuserer den aktuelle kampagne på at indsætte skumkoden i to tilfælde. Den første var i en online butik, der kørte WooCommerce-plugin hvilket er kompatibelt med det populære WordPress content management system. Dette er en meget populær tilgang, som er bredt overvejet af webstedsejere. Den anden forekomst er ved at indsætte en favoritbillede til en hacker-kontrolleret server. Metadata relateret til dette webstedselement viste sig at indeholde malware-EXIF-kode.
Det næste trin efter udførelsen af malware-koden er opstart af JavaScript kode, der er gjort til en del af Ophavsret del af billedet. Den aktuelle skimming kode læser og stjæler indholdet fra inputfelterne, der findes på webstedet. Dette inkluderer følsomme data inklusive følgende:
- Navn
- Betalingsadresse
- Detaljer om betalingskort
- Kontakt information