黑客總是在不斷改進他們的策略,以保持領先于安全公司。而在網站圖標的EXIF數據中隱藏惡意信用卡竊取腳本,以逃避檢測,就是一個很好的例子。
竊取信用卡的常見攻擊手段是入侵網站,并注入惡意JavaScript腳本,這些腳本會在客戶進行購買時竊取他們提交的付款信息。
然后,這些被盜的信用卡信息被發送到黑客們控制下的服務器上,在此處收集起來,并用于欺詐性購買或在黑網犯罪市場上出售。
在新報告中顯示,一家使用WordPress WooCommerce插件的在線商店被發現感染了Magecart腳本,從而竊取了客戶的信用卡。
讓這次攻擊脫穎而出的是,用于從支付表單捕獲數據的腳本并沒有直接添加到網頁代碼中,而是包含在遠程站點的收藏夾圖像的EXIF數據中。
Malwarebytes的Jér?meSegura 在報告中說:“濫用圖片標題來隱藏惡意代碼并不是什么新鮮事,但這是我們第一次目睹信用卡被竊取這種情況”。
當創建圖像時,開發人員可以嵌入信息,例如創建圖像的藝術家、有關相機的信息、版權信息,甚至圖片的位置。信息稱為可交換圖像文件格式(EXIF)數據。
在此次攻擊中,威脅分子侵入了一個網站,并添加了一個看似簡單的腳本,該腳本插入了一個遠程網站圖標,并進行了一些處理。
進一步調查后,Malwarebytes發現這個圖標雖然看似無害,但實際上包含嵌入在其EXIF數據中的惡意JavaScript腳本,如下圖所示。
一旦Favicon圖像加載到頁面中,黑客添加到網站的腳本就會加載該圖像嵌入的惡意掠奪器腳本。
一旦加載了這些腳本,在結賬頁面上提交的任何信用卡信息都會發回給攻擊者,攻擊者可以在那里從容不迫地收集這些信息。
由于這些惡意竊取腳本并不包含在被黑客攻擊的網站本身,因此安全軟件甚至網頁開發人員更難注意到可能出了問題。
MalwareBytes能夠找到用于創建和執行此Magecart攻擊的工具包。經過進一步分析,確定這次攻擊可能與一個名為Magecart 9的威脅行為組織有關。
圖文來源:bleepingcomputer
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:bleepingcomputer
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照