Os criminosos de computador criaram um novo mecanismo de infecção que insere o código de vírus nos metadados das imagens enviadas para sites e portais de comércio eletrônico. Este método baseia-se no salvamento do código nos metadados que são interpretados e lidos pelo software do usuário, o que leva à execução de um script de roubo de dados.
Imagens de site de malware inseridas em sites de comércio eletrônico: Os dados do cartão de pagamento podem ser invadidos
Um novo método de infecção foi desenvolvido por um grupo de hackers desconhecido, aproveitando as imagens e suas propriedades. Todo arquivo de imagem contém metadados interpretados pelo navegador da web. Isso marca a possibilidade de executar os scripts de dentro do aplicativo. Na campanha observada, o código perigoso foi colocado em arquivos que foram enviados para sites de comércio eletrônico. Existem dois cenários prováveis possíveis:
- Páginas do portal invadidas — Nesse caso, os hackers conseguiram se infiltrar nas páginas e inserir os arquivos infectados por malware relevantes.
- Upload de Script — Alguns dos recursos dinâmicos dos portais permitem o upload de imagens. Quando eles são colocados no site nas partes voltadas para a web que podem ser acessadas pelos espectadores, o script será inicializado.
O grupo criminoso(s) que estão por trás dos ataques desenvolveram essa abordagem, pois extraem dados confidenciais de pagamento das páginas de pedidos relevantes. Isso é feito ao seqüestrar as informações inseridas pelos visitantes do site. Essa abordagem ocorre após vários ataques semelhantes terem sido realizados, incluindo aqueles direcionados a sites Magecart.
Após uma investigação mais aprofundada, a campanha atual está focada na inserção do código de escumação em duas instâncias. O primeiro foi em uma loja on-line executando o Plugin WooCommerce que é compatível com o popular WordPress sistema de gerenciamento de conteúdo. Essa é uma abordagem muito popular e amplamente considerada pelos proprietários de sites. A outra instância é inserindo um imagem favicon para um servidor controlado por hackers. Os metadados relacionados a este elemento do site contêm código EXIF de malware.
A próxima etapa após a execução do código do malware é a inicialização do JavaScript código que faz parte do direito autoral seção da imagem. O real código de desnatação irá ler e roubar o conteúdo dos campos de entrada que estão presentes no site. Isso inclui dados confidenciais, incluindo os seguintes:
- Nome
- endereço de cobrança
- Detalhes do cartão de pagamento
- Informações de Contato
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: