コンピュータ犯罪者は、eコマースサイトやポータルにアップロードされた画像のメタデータにウイルスコードを挿入する新しい感染メカニズムを考案しました. この方法は、データを盗むスクリプトの実行につながる、ユーザーのソフトウェアによって解釈および読み取られるメタデータへのコードの保存に依存しています。.
eコマースサイトに挿入されたマルウェアサイトの画像: ペイメントカードのデータが乗っ取られる可能性がある
画像とその特性を利用して、未知のハッキンググループによって新しい感染方法が考案されました. すべての画像ファイルには、Webブラウザによって解釈されるメタデータが含まれています. これにより、アプリケーション内からスクリプトを実行できる可能性が高まります。. 観察されたキャンペーンでは、危険なコードがeコマースサイトにアップロードされたファイルに配置されました. 可能性のある2つのシナリオがあります:
- ハッキングされたポータルページ — この場合、ハッカーはページに侵入し、関連するマルウェアに感染したファイルを挿入することができました。.
- スクリプトのアップロード — ポータルの動的機能のいくつかは、画像のアップロードを可能にします. それらがサイトのWebに面した部分に配置され、視聴者がアクセスできるようになると、スクリプトが初期化されます。.
犯罪グループ(s) 攻撃の背後にあるものは、関連する注文ページから機密性の高い支払いデータを抽出するため、このアプローチを考案しました. これは、サイト訪問者が入力した情報をハイジャックすることによって行われます。. このアプローチは、いくつかの同様の攻撃が実行された後に行われます, Magecartサイトを対象としたものを含む.
さらに調査すると、現在のキャンペーンは2つのインスタンスでスキミングコードを挿入することに焦点を当てています. 最初のものは、を実行しているオンラインストアにありました WooCommerceプラグイン 人気のあるものと互換性があります WordPress コンテンツ管理システム. これは非常に人気のあるアプローチであり、ウェブサイトの所有者によって広く検討されています. もう1つの例は、 ファビコン画像 ハッカーが制御するサーバーへ. このウェブサイト要素に関連するメタデータには、マルウェアのEXIFコードが含まれていることが判明しました.
マルウェアコードの実行に続く次のステップは、 JavaScript の一部となるコード 著作権 画像のセクション. 実際の スキミングコード サイトに存在する入力フィールドからコンテンツを読み取り、盗みます. これには、次のような機密データが含まれます:
- 名前
- 請求先住所
- 支払いカードの詳細
- 連絡先