Computercriminelen hebben een nieuw infectiemechanisme ontwikkeld dat viruscode invoegt in de metagegevens van afbeeldingen die worden geüpload naar eCommerce-sites en portals. Deze methode is gebaseerd op het opslaan van de code in de metadata die wordt geïnterpreteerd en gelezen door de gebruikerssoftware, wat leidt tot de uitvoering van een data stealing script.
Malware-site-afbeeldingen ingevoegd in eCommerce-sites: Betaalkaartgegevens kunnen worden gekaapt
Een onbekende infectiemethode is bedacht door een onbekende hackgroep door te profiteren van afbeeldingen en hun eigenschappen. Elk afbeeldingsbestand bevat metagegevens die worden geïnterpreteerd door de webbrowser. Dit biedt de mogelijkheid om de scripts vanuit de applicatie uit te voeren. In de waargenomen campagne werd de gevaarlijke code geplaatst in bestanden die zijn geüpload naar eCommerce-sites. Er zijn twee mogelijke scenario's:
- Gehackte portalpagina's — In dit geval hebben de hackers de pagina's kunnen infiltreren en de relevante met malware geïnfecteerde bestanden kunnen invoegen.
- Script uploaden — Enkele van de dynamische kenmerken van de portalen maken het uploaden van afbeeldingen mogelijk. Wanneer ze op de site worden geplaatst in de webgerichte delen die vervolgens voor kijkers toegankelijk zijn, wordt het script geïnitialiseerd.
De criminele groep(s) die achter de aanvallen zitten, hebben deze aanpak bedacht omdat het gevoelige betalingsgegevens uit de relevante bestelpagina's haalt. Dit wordt gedaan door de informatie die door de sitebezoekers is ingevoerd te kapen. Deze aanpak komt nadat verschillende vergelijkbare aanvallen zijn uitgevoerd, inclusief degenen die zijn gericht tegen Magecart-sites.
Bij nader onderzoek is de huidige campagne gericht op het invoegen van de skimming-code in twee gevallen. De eerste was in een online winkel met de WooCommerce-plug-in die compatibel is met de populaire WordPress Contentmanagement systeem. Dit is een zeer populaire benadering die algemeen wordt overwogen door website-eigenaren. De andere instantie is door een favicon afbeelding om een hacker gecontroleerde server. De metagegevens met betrekking tot dit website-element bleken malware EXIF-code te bevatten.
De volgende stap na de uitvoering van de malwarecode is het opstarten van JavaScript code die deel uitmaakt van de Copyright gedeelte van de afbeelding. De daadwerkelijke skimming code zal de inhoud lezen en stelen van de invoervelden die aanwezig zijn op de site. Dit omvat gevoelige gegevens, waaronder de volgende:
- Naam
- factuur adres
- Betaalkaartgegevens
- Contactgegevens
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: