Злоумышленники спрятали Web-скиммер в метаданных изображения

В конце мая мы писали о растущей популярности Web-скимминга, отмеченной многими экспертами наших партнеров. Этот тип атак соответствует своему аналоговому эквиваленту, когда с клавиатуры банкомата с помощью приставленного к ней устройства копируются введенные PIN-коды, и нацелен на кражу платежных данных из онлайн-магазинов и агрегаторов. Также мы упоминали об использовании иконок в качестве заглушек для Web-скиммеров, где скиммер загружался вместе с картинкой с зараженного сайта, но сам по себе был JavaScript кодом.

Злоумышленники становятся все более изобретательными. Найденный экспертами компании Malwarebytes Web-скиммер спрятан уже с помощью одного из методов стеганографии: вредоносный код заключен в метаданных изображения – EXIF metadata.

Он загружался вместе с WooCommerce плагином WordPress – это популярный плагин в сфере онлайн-маркетинга, поэтому он часто подвергается атакам. При загрузке файла логотипа магазина или бренда favicon с перенаправленного сайта cddn[.]site/favicon.ico эксперты заметили, что в поле метаданных ‘Copyright’ вложен вредоносный JavaScrypt код, который, активируясь по системному событию onerror, уже осуществлял кражу платежных данных: имя, адрес доставки, данные кредитной карты. И, что интересно, на ресурс злоумышленника эти данные передавались не просто зашифрованными Base64 и обратным чтением строки, но и как POST request в формате изображения. Собственником скиммера подозревают группировку Magecart, так как множество нюансов указывает на их почерк работы.

Напомним, что свои Web-ресурсы необходимо регулярно сканировать на наличие возможного встроенного вредоносного кода и следов реализованных атак, а также на наличие незакрытых уязвимостей. Для этого используются соответствующие инструменты анализа кода, SIEM, сканеры уязвимостей.

Индикаторы компрометации для описанного web-скиммера указаны ниже.

EXIF skimmers

cddn[.]site

magentorates[.]com

pixasbay[.]com

lebs[.]site

bestcdnforbusiness[.]com

apilivechat[.]com

undecoveria[.]com

wosus[.]site

Older EXIF skimmer

jqueryanalise[.]xyz

jquery-analitycs[.]com

Skimmer #3

xciy[.]net

yxxi[.]net

cxizi[.]net

yzxi[.]net

Other skimmers

sonol[.]site

webtrans[.]site

koinweb[.]site

xoet[.]site

ads-fbstatistic[.]com

bizrateservices[.]com

towbarchat[.]com

teamsystems[.]info

j-queries[.]com

Registrant emails

anya.barber56@gmail[.]com

smithlatrice100@yahoo[.]com

rotrnberg.s4715@gmail[.]com

newserf@mail[.]ru

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах