A Malwarebytes descobriu scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon e alertou para essa nova tática.
Os hackers estão sempre desenvolvendo suas táticas para ficar um passo à frente das empresas de segurança. Um exemplo perfeito disso é ocultar scripts maliciosos de roubo de cartão de crédito nos dados EXIF de uma imagem favicon para evitar a detecção.
Um ataque comum usado para roubar cartões de crédito consiste em invadir o site e injetar scripts JavaScript maliciosos que roubam informações de pagamento enviadas quando um cliente faz uma compra.
Esses cartões de crédito roubados são então devolvidos a um servidor sob o controle dos agentes de ameaças, onde são coletados e usados para compras fraudulentas ou para venda nos mercados criminosos da dark web.
Esses tipos de ataques são chamados Magecart e foram usados em sites de empresas conhecidas como Claire’s, Tupperware, Smith & Wesson, Macy’s e British Airways.
Em um novo relatório da Malwarebytes, uma loja on-line usando o plugin WooCommerce do WordPress foi infectada com um script Magecart para roubar os cartões de crédito dos clientes.
O que fez esse ataque se destacar foi que os scripts usados para capturar dados das formas de pagamento não foram adicionados diretamente ao site, mas estavam contidos nos dados EXIF da imagem favicon de um site remoto.
Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?
No relatório, Jérôme Segura, da Malwarebytes, afirmou que:
“O abuso de cabeçalhos de imagem para ocultar códigos maliciosos não é novo, mas é a primeira vez que o testemunhamos com um escumador de cartão de crédito.”
Quando as imagens são criadas, o desenvolvedor pode incorporar informações como o artista que as criou, informações sobre a câmera, informações sobre direitos autorais e até o local da imagem.
Essas informações são chamadas de dados EXIF (Exchangeable Image File Format).
Nesse ataque, os atores da ameaça invadiram um site e adicionaram o que parece ser um script simples que insere uma imagem favicon remota e faz algum processamento.
Após uma investigação mais aprofundada, a Malwarebytes descobriu que esse favicon, embora parecesse inofensivo, na verdade continha scripts JavaScript maliciosos incorporados em seus dados EXIF, conforme mostrado na imagem abaixo.
Depois que a imagem favicon era carregada na página, os scripts adicionados ao site pelos hackers carregavam os scripts de escumadores maliciosos incorporados da imagem.
Depois que esses scripts foram carregados, todas as informações de cartão de crédito enviadas nas páginas de check-out foram enviadas de volta aos atacantes, onde podiam ser coletadas à vontade.
Como esses scripts maliciosos de roubo de cartão não estão contidos no próprio site invadido, é mais difícil para o software de segurança ou mesmo para os desenvolvedores da Web perceber que algo pode estar errado.
O Malwarebytes foi capaz de encontrar o kit usado para criar e executar esse ataque magecart. Após uma análise mais aprofundada, foi determinado que esse ataque poderia estar vinculado a um grupo de atores de ameaças conhecido como ‘Magecart 9’.
Esse grupo foi vinculado a outras técnicas inteligentes no passado, como o uso de web sockets para evitar a detecção.
- Como instalar o jogo de karaokê UltraStar WorldParty no Linux via Snap
- Como instalar o streaming de jogos Parsec no Linux via Flatpak
- Como instalar o jogo OpenTTD no Linux via Flatpak
- Como instalar o jogo Tetris-ever-mixer no Linux via Snap
O que está sendo falado no blog
- Como instalar o IRPF 2022 no Linux via Flatpak
- Como instalar o programa IRPF 2022 no Linux via arquivo BIN
- Como instalar a versão multiplataforma do IRPF 2022 no Linux manualmente
- Como atualizar o Fedora 35 para 36 sem complicações
- Fedora 36 lançado com GNOME 42, Kernel 5.17, e muito mais
- Dicas de coisas para fazer depois de instalar o Ubuntu 22.04 LTS
- Confira as novidades do Ubuntu Kylin 22.04 LTS
- Confira as novidades do Ubuntu Cinnamon Remix 22.04 LTS
- Confira as novidades do Lubuntu 22.04 LTS
- Confira as novidades do Ubuntu Unity 22.04 LTS
- Confira as novidades do Ubuntu Studio 22.04 LTS
- Confira as novidades do Kubuntu 22.04 LTS
- Confira as novidades do Ubuntu MATE 22.04 LTS
- Confira as novidades do Xubuntu 22.04 LTS
- Confira as novidades do Ubuntu Budgie 22.04 LTS
- Como atualizar para o Ubuntu 22.04 LTS via terminal (server e desktop)
- Ubuntu 22.04 LTS lançado com GNOME 42, kernel 5.15, e muito mais
- Confira os novos recursos e a data de lançamento do Ubuntu 22.04
- Compare as especificações dos PCs de jogos portáteis (Valve Steam Deck, GPD Win 3, OneGx1 Pro, Aya Neo, GPD Win Max 2021)