I criminali informatici hanno escogitato un nuovo meccanismo di infezione che inserisce il codice del virus nei metadati delle immagini che vengono caricate su siti e portali di e-commerce. Questo metodo si basa sul salvataggio del codice nei metadati che viene interpretato e letto dal software dell'utente che porta all'esecuzione di uno script di furto di dati.
Immagini dei siti di malware inserite nei siti di e-commerce: I dati della carta di pagamento possono essere dirottati
Un nuovo metodo di infezione è stato ideato da un gruppo di hacking sconosciuto sfruttando le immagini e le loro proprietà. Ogni file di immagine contiene metadati interpretati dal browser web. Ciò offre la possibilità di eseguire gli script dall'interno dell'applicazione. Nella campagna osservata il codice pericoloso è stato inserito in file che sono stati caricati su siti di e-commerce. Esistono due possibili scenari possibili:
- Pagine del portale compromesse — In questo caso gli hacker sono stati in grado di infiltrarsi nelle pagine e inserire i relativi file infetti da malware.
- Caricamento script — Alcune delle caratteristiche dinamiche dei portali consentono il caricamento di immagini. Quando vengono posizionati nel sito nelle parti rivolte al web a cui possono accedere gli utenti, lo script verrà inizializzato.
Il gruppo criminale(s) che sono alla base degli attacchi hanno escogitato questo approccio in quanto estrae dati di pagamento sensibili dalle relative pagine dell'ordine. Questo viene fatto dirottando le informazioni che vengono inserite dai visitatori del sito. Questo approccio viene dopo che sono stati effettuati diversi attacchi simili, compresi quelli destinati ai siti Magecart.
A seguito di ulteriori accertamenti, l'attuale campagna si concentra sull'inserimento del codice skimmer in due casi. Il primo era in un negozio online con il Plugin WooCommerce che è compatibile con il popolare WordPress sistema di gestione dei contenuti. Questo è un approccio molto popolare che è ampiamente considerato dai proprietari di siti web. L'altra istanza è inserendo a immagine favicon a un server degli hacker controllato. I metadati relativi a questo elemento del sito Web sono stati trovati contenere codice EXIF di malware.
Il prossimo passo dopo l'esecuzione del codice malware è l'avvio di JavaScript codice che fa parte del Diritto d'autore sezione dell'immagine. L'attuale codice di scrematura leggerà e ruberà i contenuti dai campi di input presenti nel sito. Ciò include dati sensibili, inclusi i seguenti:
- Nome
- Indirizzo Di Fatturazione
- Dettagli della carta di pagamento
- Informazioni sui contatti
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: