黑客攻擊的網絡商店隱藏在圖像元數據

Malwarebytes透露，一群網絡罪犯成功地將他們的網絡瀏覽器隱藏在一張圖片的EXIF元數據中，然后被感染的在線商店偷偷地加載。
這些腳本的目的是識別和竊取毫無防備的用戶在受到攻擊的電子商務網站上輸入的信用卡數據和其他敏感信息，并將收集到的數據發送給競選運營商。
Malwarebytes的安全研究人員說，最近發現的這次攻擊之所以引人注目，不僅是因為它使用圖像來隱藏抓取器，還因為它使用圖像來竊取被盜的信用卡數據。
據Malwarebytes報道，一個初始的JavaScript是從一個運行WordPress的WooCommerce插件的在線商店加載的，多余的代碼被附加到一個由商家托管的合法腳本中。
該腳本將加載一個與被破壞的商店使用的徽標相同的徽標文件(他們品牌的標識)，并且從該圖像的版權元數據字段加載web skimmer。
skimmer的設計目的是抓取輸入欄的內容，在線購物者輸入他們的名字，賬單地址和信用卡詳細信息，就像其他類似的代碼一樣。
skimmer還對收集到的數據進行編碼，反轉字符串，并通過POST請求將信息作為圖像文件發送到外部服務器。
Malwarebytes指出:“威脅者可能決定堅持使用圖像主題，同時通過favicon.ico文件隱藏被竊取的數據。”
在他們的調查中，安全研究人員在一個受攻擊的網站的開放目錄中發現了一個skimmer toolkit的源代碼副本，這使他們有可能了解到favicon.ico文件是如何在版權字段中使用注入的腳本制作的。
Malwarebytes還能夠識別出skimmer的一個早期版本，它沒有在最近的迭代中出現的混淆，但是有相同的代碼特性，并且相信它可能與Magecart Group 9有關。