Les criminels informatiques ont conçu un nouveau mécanisme d'infection qui insère du code de virus dans les métadonnées des images qui sont téléchargées sur les sites et portails de commerce électronique. Cette méthode repose sur la sauvegarde du code dans les métadonnées qui est interprétée et lue par le logiciel utilisateur ce qui conduit à l'exécution d'un script de vol de données.
Images de sites malveillants insérées dans les sites de commerce électronique: Les données des cartes de paiement peuvent être détournées
Une nouvelle méthode d'infection a été conçue par un groupe de piratage inconnu en tirant parti des images et de leurs propriétés. Chaque fichier image contient des métadonnées interprétées par le navigateur Web. Cela ouvre la possibilité d'exécuter les scripts à partir de l'application. Dans la campagne observée, le code dangereux a été placé dans des fichiers qui ont été téléchargés sur des sites de commerce électronique. Deux scénarios probables sont possibles:
- Pages de portail piratées — Dans ce cas, les pirates ont pu infiltrer les pages et insérer les fichiers infectés par des logiciels malveillants pertinents.
- Téléchargement de script — Certaines des fonctionnalités dynamiques des portails permettent le téléchargement d'images. Lorsqu'ils sont placés dans le site dans les parties Web accessibles aux téléspectateurs, le script est initialisé.
Le groupe criminel(s) qui sont à l'origine des attaques ont conçu cette approche en extrayant les données de paiement sensibles des pages de commande pertinentes. Cela se fait en détournant les informations saisies par les visiteurs du site. Cette approche intervient après plusieurs attaques similaires ont été menées, y compris ceux qui sont ciblés contre les sites Magecart.
Après enquête, la campagne actuelle se concentre sur l'insertion du code d'écrémage dans deux cas. Le premier était sur une boutique en ligne Plugin WooCommerce qui est compatible avec le populaire WordPress système de gestion de contenu. Il s'agit d'une approche très populaire qui est largement considérée par les propriétaires de sites Web.. L'autre instance consiste à insérer un image favicon à un serveur contrôlé hacker. Les métadonnées liées à cet élément du site Web contenaient du code EXIF malveillant.
La prochaine étape après l'exécution du code malveillant est le démarrage de JavaScript code qui fait partie de la droits d'auteur section de l'image. L'actuel code d'écrémage lira et volera le contenu des champs de saisie présents sur le site. Cela inclut les données sensibles, notamment les suivantes:
- Nom
- Adresse de facturation
- Détails de la carte de paiement
- Informations de contact
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: