Pular para a barra de ferramentas
Hacker

Hackers de sites de comércio eletrônico agora escondem ladrões de cartão de crédito dentro dos metadados da imagem

Em uma das campanhas de hackers mais inovadoras, as gangues de crimes cibernéticos agora escondem implantes de códigos maliciosos nos metadados dos arquivos de imagem para roubar secretamente as informações do cartão de pagamento inseridas pelos visitantes nos sites invadidos.

“Encontramos código oculto escondido nos metadados de um registo de imagem (uma forma de esteganografia) e sub-repticiamente onusto por lojas on-line comprometidas”, disseram os pesquisadores do Malwarebytes na semana passada.

“Esse esquema não estaria completo sem outra variação interessante para exfiltrar os dados roubados do cartão de crédito. Mais uma vez, os criminosos usaram o máscara de um registo de imagem para tributar seus itens”.

A tática em evolução da operação, amplamente conhecida {como} skimming na Web ou um ataque Magecart, ocorre quando maus atores estão encontrando maneiras diferentes de injetar scripts JavaScript, incluindo baldes de armazenamento de dados do AWS S3 configurados incorretamente e explorando a política de segurança de teor para transmitir dados para uma conta do Google Analytics sob seu controle.

Usando a esteganografia para ocultar o código do skimmer no EXIF

Baseando-se na crescente tendência das compras on-line, esses ataques normalmente funcionam inserindo código malicioso em um site comprometido, que clandestinamente colheita e envia dados inseridos pelo usuário ao servidor de um criminoso cibernético, dando-lhes entrada às informações de pagamento dos compradores.

Nesta campanha de uma semana, a empresa de segurança cibernética descobriu que o skimmer não era unicamente revelado em uma loja on-line executando o plugin WooCommerce WordPress, porém estava contido nos metadados EXIF ​​(abreviatura de Exchangeable Image File Format) para um domínio suspeito (cddn.site ) imagem favicon.

Toda imagem é incorporada com informações sobre a própria imagem, {como} obreiro e protótipo da câmera, data e hora em que a foto foi tirada, sítio, solução e configurações da câmera, entre outros detalhes.

Usando esses dados EXIF, os hackers executaram um pedaço de JavaScript oculto no campo “Copyright” da imagem favicon.

“{Como} em outros skimmers, esse da mesma forma tomada o teor dos campos de ingressão em que os compradores on-line estão inserindo seu nome, endereço de cobrança e detalhes do cartão de crédito”, disseram os pesquisadores.

Além de codificar as informações capturadas usando o formato Base64 e virar a sequência de saída, os dados roubados são transmitidos na forma de um registo de imagem para ocultar o processo de exfiltração.

Declarando que a operação pode ser obra do Magecart Group 9, a Malwarebytes acrescentou que o código JavaScript do skimmer é ofuscado usando a livraria WiseLoop PHP JS Obfuscator.

Esta não é a primeira vez que grupos Magecart usam imagens {como} vetores de ataque para comprometer sites de transação eletrônico. Em maio, vários sites invadidos foram observados carregando um favicon malicioso em suas páginas de checkout e subseqüentemente substituindo os formulários de pagamento on-line legítimos por um substituto fraudulento que roubava os detalhes do cartão do usuário.
Abusando do protocolo DNS para extrair dados do navegador

Porém os ataques de roubo de dados não precisam necessariamente estar confinados a códigos maliciosos.

Em uma técnica separada demonstrada por Jessie Li, é provável roubar dados do navegador usando o dns-prefetch, um método de redução de latência usado para resolver domínios de origem cruzada de pesquisas DNS antes que recursos (por exemplo, arquivos, links) sejam solicitados.

Chamado “browsertunnel”, o software de código {aberto} consiste em um servidor que decodifica as mensagens enviadas pela utensílio e uma livraria JavaScript do lado do cliente para codificar e transmitir as mensagens.

As próprias mensagens são seqüências de caracteres arbitrárias codificadas em um subdomínio do domínio principal que está ocorrendo resolvido pelo navegador. A utensílio escuta as consultas DNS, coletando mensagens recebidas e decodificando-as para extrair os dados relevantes.

Em outras palavras, ‘browsertunnel’ pode ser usado para reunir informações confidenciais, pois os usuários realizam ações específicas em uma página da Web e subsequentemente as filtram para um servidor, disfarçando-o {como} {tráfego} DNS.

“O {tráfego} DNS não aparece nas ferramentas de depuração do navegador, não é bloqueado pela Política de Segurança de Teor (CSP) de uma página e geralmente não é inspecionado por firewalls ou proxies corporativos, tornando-o um meio ideal para contrabandear dados em cenários restritos”, Li disse.

Deixe uma resposta

Fechar
Fechar