Злоумышленники спрятали Web-скиммер в метаданных изображения
Злоумышленники спрятали Web-скиммер в метаданных изображения
В конце мая мы писали о растущей популярности Web-скимминга, отмеченной многими экспертами наших партнеров. Этот тип атак соответствует своему аналоговому эквиваленту, когда с клавиатуры банкомата с помощью приставленного к ней устройства копируются введенные PIN-коды, и нацелен на кражу платежных данных из онлайн-магазинов и агрегаторов. Также мы упоминали об использовании иконок в качестве заглушек для Web-скиммеров, где скиммер загружался вместе с картинкой с зараженного сайта, но сам по себе был JavaScript кодом.
Злоумышленники становятся все более изобретательными. Найденный экспертами компании Malwarebytes Web-скиммер спрятан уже с помощью одного из методов стеганографии: вредоносный код заключен в метаданных изображения – EXIF metadata.
Он загружался вместе с WooCommerce плагином WordPress – это популярный плагин в сфере онлайн-маркетинга, поэтому он часто подвергается атакам. При загрузке файла логотипа магазина или бренда favicon с перенаправленного сайта cddn[.]site/favicon.ico эксперты заметили, что в поле метаданных ‘Copyright’ вложен вредоносный JavaScrypt код, который, активируясь по системному событию onerror, уже осуществлял кражу платежных данных: имя, адрес доставки, данные кредитной карты. И, что интересно, на ресурс злоумышленника эти данные передавались не просто зашифрованными Base64 и обратным чтением строки, но и как POST request в формате изображения. Собственником скиммера подозревают группировку Magecart, так как множество нюансов указывает на их почерк работы.
Напомним, что свои Web-ресурсы необходимо регулярно сканировать на наличие возможного встроенного вредоносного кода и следов реализованных атак, а также на наличие незакрытых уязвимостей. Для этого используются соответствующие инструменты анализа кода, SIEM, сканеры уязвимостей.
Индикаторы компрометации для описанного web-скиммера указаны ниже.