黑客總是在不斷改進(jìn)他們的策略，以保持領(lǐng)先于安全公司。而在網(wǎng)站圖標(biāo)的EXIF數(shù)據(jù)中隱藏惡意信用卡竊取腳本，以逃避檢測，就是一個很好的例子。

竊取信用卡的常見攻擊手段是入侵網(wǎng)站，并注入惡意JavaScript腳本，這些腳本會在客戶進(jìn)行購買時竊取他們提交的付款信息。

然后，這些被盜的信用卡信息被發(fā)送到黑客們控制下的服務(wù)器上，在此處收集起來，并用于欺詐性購買或在黑網(wǎng)犯罪市場上出售。

在新報告中顯示，一家使用WordPress  WooCommerce插件的在線商店被發(fā)現(xiàn)感染了Magecart腳本，從而竊取了客戶的信用卡。

讓這次攻擊脫穎而出的是，用于從支付表單捕獲數(shù)據(jù)的腳本并沒有直接添加到網(wǎng)頁代碼中，而是包含在遠(yuǎn)程站點(diǎn)的收藏夾圖像的EXIF數(shù)據(jù)中。

Malwarebytes的Jér?meSegura 在報告中說：“濫用圖片標(biāo)題來隱藏惡意代碼并不是什么新鮮事，但這是我們第一次目睹信用卡被竊取這種情況”。

當(dāng)創(chuàng)建圖像時，開發(fā)人員可以嵌入信息，例如創(chuàng)建圖像的藝術(shù)家、有關(guān)相機(jī)的信息、版權(quán)信息，甚至圖片的位置。信息稱為可交換圖像文件格式（EXIF）數(shù)據(jù)。

在此次攻擊中，威脅分子侵入了一個網(wǎng)站，并添加了一個看似簡單的腳本，該腳本插入了一個遠(yuǎn)程網(wǎng)站圖標(biāo)，并進(jìn)行了一些處理。

進(jìn)一步調(diào)查后，Malwarebytes發(fā)現(xiàn)這個圖標(biāo)雖然看似無害，但實(shí)際上包含嵌入在其EXIF數(shù)據(jù)中的惡意JavaScript腳本，如下圖所示。

一旦Favicon圖像加載到頁面中，黑客添加到網(wǎng)站的腳本就會加載該圖像嵌入的惡意掠奪器腳本。

一旦加載了這些腳本，在結(jié)賬頁面上提交的任何信用卡信息都會發(fā)回給攻擊者，攻擊者可以在那里從容不迫地收集這些信息。

由于這些惡意竊取腳本并不包含在被黑客攻擊的網(wǎng)站本身，因此安全軟件甚至網(wǎng)頁開發(fā)人員更難注意到可能出了問題。

MalwareBytes能夠找到用于創(chuàng)建和執(zhí)行此Magecart攻擊的工具包。經(jīng)過進(jìn)一步分析，確定這次攻擊可能與一個名為Magecart 9的威脅行為組織有關(guān)。

圖文來源：bleepingcomputer

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:bleepingcomputer

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明