Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Преступники скрывают web-скиммеры в метаданных изображений

02/07/20

hack100Специалисты из компании Malwarebytes обнаружили вредоносную кампанию, в рамках которой киберпреступники внедряли скимминг-код в EXIF-метаданные фавикона (значок web-сайта) и тайно загружали его на страницы скомпрометированных интернет-магазинов.

На одном из неназванных скомпрометированных сайтов исследователи обнаружили копию исходных кодов скиммера и заметили, что обычный файл favicon.ico содержит внедренный скрипт внутри поля Copyright.

Как пояснили эксперты, web-скиммер был найден в EXIF-метаданных файла, который загружался скомпрометированными интернет-магазинами вместе с плагином WooCommerce для WordPress. Вредоносный код для загрузки опасного изображения добавлялся к легитимному скрипту на сайтах магазинов. Специалисты проследили вредоносную активность до сайта cddn[.]site, с которого загружался вредоносный фавикон. Киберпреступники использовали фавиконы, идентичные настоящим в скомпрометированных магазинах, а web-скиммер подгружался из поля Copyright в метаданных изображения при помощи тега <img>.

Как и прочие инструменты подобного рода, скиммер похищал содержимое полей ввода, включая имена пользователей, платежный адрес, данные кредитных карт и пр. Похищенную информацию скиммер кодировал в Base64, разворачивал строку и путем POST-запроса передавал данные в виде файла изображения на удаленный сервер преступников.

Как предполагает исследователь безопасности, использующий псевдоним @Affable Kraut, скиммер может быть связан с киберпреступной группировкой Magecart Group 9. Домен (magentorates[.]Com), использующий данную технику скимминга метаданных EXIF, имеет тот же болгарский хостинг-провайдер и был зарегистрирован в течение недели после magerates[.]cом, ранее связываемого с Magecart Group 9.

Темы:УгрозыMagecartMalwarebytesweb-скимминг
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...