Злоумышленники спрятали Web-скиммер в метаданных изображения

В конце мая мы писали о растущей популярности Web-скимминга, отмеченной многими экспертами наших партнеров. Этот тип атак соответствует своему аналоговому эквиваленту, когда с клавиатуры банкомата с помощью приставленного к ней устройства копируются введенные PIN-коды, и нацелен на кражу платежных данных из онлайн-магазинов и агрегаторов. Также мы упоминали об использовании иконок в качестве заглушек для Web-скиммеров, где скиммер загружался вместе с картинкой с зараженного сайта, но сам по себе был JavaScript кодом.

Злоумышленники становятся все более изобретательными. Найденный экспертами компании Malwarebytes Web-скиммер спрятан уже с помощью одного из методов стеганографии: вредоносный код заключен в метаданных изображения – EXIF metadata.

Он загружался вместе с WooCommerce плагином WordPress – это популярный плагин в сфере онлайн-маркетинга, поэтому он часто подвергается атакам. При загрузке файла логотипа магазина или бренда favicon с перенаправленного сайта cddn[.]site/favicon.ico эксперты заметили, что в поле метаданных ‘Copyright’ вложен вредоносный JavaScrypt код, который, активируясь по системному событию onerror, уже осуществлял кражу платежных данных: имя, адрес доставки, данные кредитной карты. И, что интересно, на ресурс злоумышленника эти данные передавались не просто зашифрованными Base64 и обратным чтением строки, но и как POST request в формате изображения. Собственником скиммера подозревают группировку Magecart, так как множество нюансов указывает на их почерк работы.

Напомним, что свои Web-ресурсы необходимо регулярно сканировать на наличие возможного встроенного вредоносного кода и следов реализованных атак, а также на наличие незакрытых уязвимостей. Для этого используются соответствующие инструменты анализа кода, SIEM, сканеры уязвимостей.

Индикаторы компрометации для описанного web-скиммера указаны ниже.

EXIF skimmers

cddn[.]site

magentorates[.]com

pixasbay[.]com

lebs[.]site

bestcdnforbusiness[.]com

apilivechat[.]com

undecoveria[.]com

wosus[.]site

Older EXIF skimmer

jqueryanalise[.]xyz

jquery-analitycs[.]com

Skimmer #3

xciy[.]net

yxxi[.]net

cxizi[.]net

yzxi[.]net

Other skimmers

sonol[.]site

webtrans[.]site

koinweb[.]site

xoet[.]site

ads-fbstatistic[.]com

bizrateservices[.]com

towbarchat[.]com

teamsystems[.]info

j-queries[.]com

Registrant emails

anya.barber56@gmail[.]com

smithlatrice100@yahoo[.]com

rotrnberg.s4715@gmail[.]com

newserf@mail[.]ru

Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах