Κακόβουλα scripts κλοπής πιστωτικών καρτών κρύβονται σε favicon

[Δορυφορικα]

Μία νέα τακτική φαίνεται πως έχουν εφεύρει οι κακόβουλοι παράγοντες, εγκαθιστώντας scripts κλοπής πιστωτικών καρτών σε favicon.  

Η πιο συνηθισμένη μορφή επίθεσης για την κλοπή πιστωτικών καρτών, είναι η παραβίαση ενός site και η εγκατάσταση JavaScript που κλέβει τα στοιχεία πληρωμής, όταν ένας πελάτης πραγματοποιεί μια αγορά.

Μόλις κλαπούν, αυτά τα στοιχεία μεταφέρονται σε έναν server που ελέγχεται από τον hacker και ο οποίος μπορεί στη συνέχεια να τα χρησιμοποιήσει για να πραγματοποιήσει αγορές ή να τα πουλήσει στο Dark Web.

Οι επιθέσεις αυτές, γνωστές ως Magecart, έχουν χρησιμοποιηθεί σε ιστότοπους δημοφιλών εταιρειών όπως οι Claire, Tupperware, Smith & Wesson, Macy’s και British Airways.

Νέες πιο αποτελεσματικές μέθοδοι

Πρόσφατα το Malwarebytes, ανακοίνωσε ότι ένα site που χρησιμοποιεί το WordPress WooCommerce plugin, έπεσε θύμα επίθεσης Magecart.

Το διαφορετικό ωστόσο σε αυτή τη επίθεση ήταν ότι τα scripts που χρησιμοποιήθηκαν για τη λήψη δεδομένων από τις φόρμες πληρωμής, δεν προστέθηκαν απευθείας στον ιστότοπο, αλλά στα δεδομένα EXIF ​​ενός favicon του ιστότοπου.

Όταν δημιουργούνται εικόνες, ο προγραμματιστής μπορεί να ενσωματώσει πληροφορίες όπως το όνομα του καλλιτέχνη που τις δημιούργησε, πληροφορίες σχετικά με την κάμερα, πληροφορίες πνευματικών δικαιωμάτων και ακόμη και την τοποθεσία της εικόνας.

Αυτές οι πληροφορίες ονομάζονται δεδομένα Exchangeable Image File Format (EXIF).

Στην προκειμένη περίπτωση, οι κακόβουλοι παράγοντες κατάφεραν να χακάρουν το site και να προσθέσουν ένα script σε ένα favicon.

Μετά από περαιτέρω έρευνα, το Malwarebytes ανακάλυψε ότι αυτό το favicon, ενώ έμοιαζε ακίνδυνο, περιείχε κακόβουλα scripts ενσωματωμένα στα δεδομένα EXIF ​​του.

Μόλις το favicon φορτώνεται στη σελίδα, τα scripts που προστέθηκαν στον ιστότοπο από τους εισβολείς φορτώνουν τα ενσωματωμένα κακόβουλα skimmer της εικόνας.

Στη συνέχεια, οποιαδήποτε πληροφορία πιστωτικής κάρτας υποβληθεί στη σελίδα, αποστέλλεται στους εισβολείς.

Καθώς αυτά τα κακόβουλα scripts δεν περιλαμβάνονται στον ίδιο τον ιστότοπο που έχει παραβιαστεί, είναι πιο δύσκολο για ένα λογισμικό ασφαλείας ή ακόμα και για τους προγραμματιστές να το παρατηρήσουν. Σύμφωνα με το Malwarebytes, αυτή η επίθεση ίσως συνδέεται με μια ομάδα hacking γνωστή ως «Magecart 9», η οποία έχει πραγματοποιήσει παρόμοιες επιθέσεις στο παρελθόν.

Let's block ads! (Why?)

Πηγή Είδησης