Los delincuentes informáticos han ideado un nuevo mecanismo de infección que inserta código de virus en los metadatos de las imágenes que se cargan en portales y sitios de comercio electrónico.. Este método se basa en guardar el código en los metadatos que el software del usuario interpreta y lee, lo que lleva a la ejecución de un script de robo de datos.
Imágenes de sitios de malware insertadas en sitios de comercio electrónico: Los datos de la tarjeta de pago pueden ser secuestrados
Un nuevo grupo de piratas informáticos ha ideado un nuevo método de infección aprovechando las imágenes y sus propiedades.. Cada archivo de imagen contiene metadatos interpretados por el navegador web. Esto resalta la posibilidad de ejecutar los scripts desde la aplicación.. En la campaña observada, el código peligroso se colocó en archivos que se han subido a sitios de comercio electrónico. Hay dos escenarios posibles que son posibles:
- Páginas de portal pirateadas — En este caso, los piratas informáticos han podido infiltrarse en las páginas e insertar los archivos infectados con malware relevantes.
- Carga de guiones — Algunas de las características dinámicas de los portales permiten la carga de imágenes.. Cuando se colocan en el sitio en las partes orientadas a la web a las que los espectadores pueden acceder, el script se inicializará.
El grupo criminal(s) que están detrás de los ataques han ideado este enfoque, ya que extrae datos confidenciales de pago de las páginas de pedidos relevantes. Esto se hace secuestrando la información que ingresan los visitantes del sitio. Este enfoque se produce después de varios ataques similares llevados a cabo., incluidos los que están dirigidos contra sitios de Magecart.
Tras una investigación adicional, la campaña actual se centra en insertar el código de descremado en dos instancias. El primero estaba en una tienda en línea que ejecutaba Complemento WooCommerce que es compatible con el popular WordPress sistema de gestión de contenidos. Este es un enfoque muy popular que los propietarios de sitios web consideran ampliamente. La otra instancia es insertando un imagen favicon a un servidor pirata informático controlado. Se encontró que los metadatos relacionados con este elemento del sitio web contenían código EXIF de malware.
El siguiente paso después de la ejecución del código de malware es el inicio de JavaScript código que forma parte de la Derechos de autor sección de la imagen. El actual código de descremado leerá y robará el contenido de los campos de entrada que están presentes en el sitio. Esto incluye datos confidenciales, incluidos los siguientes:
- Nombre
- Dirección de Envio
- Detalles de la tarjeta de pago
- Información del contacto