在最創新的黑客活動之一中,網絡犯罪團伙現在將惡意代碼植入程序隱藏在圖像文件的元數據中,以暗中竊取訪客在被黑客入侵的網站上輸入的支付卡信息。
Malwarebytes研究人員上周表示:「我們發現略讀代碼隱藏在圖像文件(一種隱寫術形式)的元數據中,並秘密地由受到破壞的在線商店加載。」
「如果沒有另一個有趣的變體來竊取被盜的信用卡數據,這個方案將是不完整的。罪犯再次利用圖像文件的偽裝來收集他們的贓物。」
行動的發展策略,即眾所周知的網絡掠奪或Magecart攻擊,是因為不良行為者正在尋找注入JavaScript腳本的不同方法,包括配置錯誤的AWS S3數據存儲桶以及利用內容安全策略將數據傳輸到Google Analytics(分析)帳戶在他們的控制之下。
這些攻擊基於在線購物的增長趨勢,通常通過將惡意代碼插入受感染的站點來進行工作,該站點會秘密收集用戶輸入的數據並將其發送到網絡罪犯的伺服器,從而使他們能夠訪問購物者的付款信息。
在為期一周的活動中,網絡安全公司發現撇渣器不僅是在運行WooCommerce WordPress插件的在線商店上發現的,而且還包含在可疑域(cddn.site)的EXIF(可交換圖像文件格式的簡稱)元數據中。)收藏夾圖片。
每張圖像都嵌入了有關圖像本身的信息,例如相機製造商和型號,拍攝日期和時間,位置,解析度和相機設置以及其他詳細信息。
黑客使用此EXIF數據執行了一個JavaScript,該JavaScript隱藏在favicon圖像的「版權」欄位中。
研究人員說:「與其他撇油器一樣,這也抓住了在線購物者輸入姓名,帳單地址和信用卡詳細信息的輸入欄位的內容。」
除了使用Base64格式對捕獲的信息進行編碼並反轉輸出字符串外,還以圖像文件的形式傳輸被竊取的數據以隱藏滲透過程。
說明該操作可能是Magecart第9組的手工工作,Malwarebytes添加了使用WiseLoop PHP JS Obfuscator庫對撇油器的JavaScript代碼進行模糊處理的代碼。
這不是Magecart團體第一次使用圖像作為攻擊媒介來破壞電子商務網站。早在5月,觀察到幾個被黑的網站在其結帳頁面上加載了一個惡意圖標,隨後用欺詐性的替代品代替了合法的在線支付表格,從而竊取了用戶卡的詳細信息。
但是,數據竊取攻擊不一定僅限於惡意的撇渣器代碼。
在由Jessie Li演示的另一種技術中,可以通過利用dns-prefetch來從瀏覽器竊取數據,dns-prefetch是一種減少延遲的方法,用於在請求資源(例如文件,連結)之前解析跨域域的DNS查找。
稱為「瀏覽器隧道」的開源軟體由對工具發送的消息進行解碼的伺服器和用於編碼和傳輸消息的客戶端JavaScript庫組成。
消息本身是編碼在瀏覽器解析的頂級域的子域中的任意字符串。然後,該工具偵聽DNS查詢,收集傳入消息並對其進行解碼以提取相關數據。
換句話說,「瀏覽器隧道」可用於聚集敏感信息,因為用戶在網頁上執行特定操作,然後通過將其偽裝成DNS流量將其泄露到伺服器。
「 DNS流量不會出現在瀏覽器的調試工具中,不會被頁面的內容安全策略(CSP)阻止,並且通常不會受到公司防火牆或代理的檢查,這使其成為在受限情況下走私數據的理想媒介。」說過。
譯自:Hacker News