电子商务网站黑客现在将信用卡窃取者隐藏在图像元数据中

在这场最具创新性的黑客攻击活动中，网络犯罪团伙正在图像文件的元数据中隐藏恶意代码，以秘密窃取访客在被黑客攻击的网站上输入的支付卡信息。

Malwarebytes的研究人员上周表示：“我们发现，略读代码隐藏在一个图像文件（一种隐写术）的元数据中，并被泄露的在线商店秘密加载。”。

“如果没有另一个有趣的变体来过滤被盗的信用卡数据，这个计划将不完整。犯罪分子再次利用图像文件的伪装来收集他们的赃物。”


这项行动不断演变的策略被广泛称为网络浏览或Magecart攻击，与此同时，坏行为者正在寻找不同的方式注入JavaScript脚本，包括错误配置的AWS S3数据存储桶，以及利用内容安全策略将数据传输到其控制下的谷歌分析账户。


使用隐写术隐藏EXIF中的略读代码
基于网络购物日益增长的趋势，这些攻击通常通过在受损网站中插入恶意代码来起作用，该网站会秘密收集用户输入的数据，并将其发送到网络罪犯的服务器，从而让他们能够访问购物者的支付信息。


这家网络安全公司在这一周前的活动中发现，该略读器不仅在运行WooCommerce WordPress插件的在线商店中被发现，而且还包含在可疑域（cddn.site）favicon图像的EXIF（可交换图像文件格式的缩写）元数据中。

每个图像都嵌入了有关图像本身的信息，例如相机制造商和型号、拍摄日期和时间、位置、分辨率和相机设置等细节。

黑客利用这些EXIF数据执行了一段隐藏在favicon图像“版权”字段中的JavaScript。

研究人员说：“和其他的略读器一样，这一个还可以抓取输入字段的内容，在线购物者在输入字段中输入自己的姓名、账单地址和信用卡详细信息。”。


除了使用Base64格式对捕获的信息进行编码并反转输出字符串外，窃取的数据还以图像文件的形式传输，以隐藏过滤过程。

Malwarebytes称，该操作可能是Magecart Group 9的手工操作，它添加了用于略读器的JavaScript代码，并使用WiseLoop PHP JS模糊器库对其进行模糊处理。




这不是Magecart组织第一次使用图像作为攻击载体来危害电子商务网站。早在5月，有人观察到几家被黑客攻击的网站在其结账页面上加载了恶意favicon，随后用窃取用户卡详细信息的欺诈替代品替换了合法的在线支付表单。