Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Преступники скрывают web-скиммеры в метаданных изображений

02/07/20

hack100Специалисты из компании Malwarebytes обнаружили вредоносную кампанию, в рамках которой киберпреступники внедряли скимминг-код в EXIF-метаданные фавикона (значок web-сайта) и тайно загружали его на страницы скомпрометированных интернет-магазинов.

На одном из неназванных скомпрометированных сайтов исследователи обнаружили копию исходных кодов скиммера и заметили, что обычный файл favicon.ico содержит внедренный скрипт внутри поля Copyright.

Как пояснили эксперты, web-скиммер был найден в EXIF-метаданных файла, который загружался скомпрометированными интернет-магазинами вместе с плагином WooCommerce для WordPress. Вредоносный код для загрузки опасного изображения добавлялся к легитимному скрипту на сайтах магазинов. Специалисты проследили вредоносную активность до сайта cddn[.]site, с которого загружался вредоносный фавикон. Киберпреступники использовали фавиконы, идентичные настоящим в скомпрометированных магазинах, а web-скиммер подгружался из поля Copyright в метаданных изображения при помощи тега <img>.

Как и прочие инструменты подобного рода, скиммер похищал содержимое полей ввода, включая имена пользователей, платежный адрес, данные кредитных карт и пр. Похищенную информацию скиммер кодировал в Base64, разворачивал строку и путем POST-запроса передавал данные в виде файла изображения на удаленный сервер преступников.

Как предполагает исследователь безопасности, использующий псевдоним @Affable Kraut, скиммер может быть связан с киберпреступной группировкой Magecart Group 9. Домен (magentorates[.]Com), использующий данную технику скимминга метаданных EXIF, имеет тот же болгарский хостинг-провайдер и был зарегистрирован в течение недели после magerates[.]cом, ранее связываемого с Magecart Group 9.

Темы:УгрозыMagecartMalwarebytesweb-скимминг
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...