Do not speak Portuguese? Translate this site with Google or Bing Translator

Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?

A Malwarebytes descobriu scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon e alertou para essa nova tática.

Os hackers estão sempre desenvolvendo suas táticas para ficar um passo à frente das empresas de segurança. Um exemplo perfeito disso é ocultar scripts maliciosos de roubo de cartão de crédito nos dados EXIF ​​de uma imagem favicon para evitar a detecção.

Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?
Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?

Um ataque comum usado para roubar cartões de crédito consiste em invadir o site e injetar scripts JavaScript maliciosos que roubam informações de pagamento enviadas quando um cliente faz uma compra.

Esses cartões de crédito roubados são então devolvidos a um servidor sob o controle dos agentes de ameaças, onde são coletados e usados ​​para compras fraudulentas ou para venda nos mercados criminosos da dark web.

Esses tipos de ataques são chamados Magecart e foram usados ​​em sites de empresas conhecidas como Claire’s, Tupperware, Smith & Wesson, Macy’s e British Airways.

Em um novo relatório da Malwarebytes, uma loja on-line usando o plugin WooCommerce do WordPress foi infectada com um script Magecart para roubar os cartões de crédito dos clientes.

O que fez esse ataque se destacar foi que os scripts usados ​​para capturar dados das formas de pagamento não foram adicionados diretamente ao site, mas estavam contidos nos dados EXIF ​​da imagem favicon de um site remoto.

Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?

No relatório, Jérôme Segura, da Malwarebytes, afirmou que:

“O abuso de cabeçalhos de imagem para ocultar códigos maliciosos não é novo, mas é a primeira vez que o testemunhamos com um escumador de cartão de crédito.”

Quando as imagens são criadas, o desenvolvedor pode incorporar informações como o artista que as criou, informações sobre a câmera, informações sobre direitos autorais e até o local da imagem.

Essas informações são chamadas de dados EXIF ​​(Exchangeable Image File Format).

Nesse ataque, os atores da ameaça invadiram um site e adicionaram o que parece ser um script simples que insere uma imagem favicon remota e faz algum processamento.

Após uma investigação mais aprofundada, a Malwarebytes descobriu que esse favicon, embora parecesse inofensivo, na verdade continha scripts JavaScript maliciosos incorporados em seus dados EXIF, conforme mostrado na imagem abaixo.
Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?
Depois que a imagem favicon era carregada na página, os scripts adicionados ao site pelos hackers carregavam os scripts de escumadores maliciosos incorporados da imagem.

Depois que esses scripts foram carregados, todas as informações de cartão de crédito enviadas nas páginas de check-out foram enviadas de volta aos atacantes, onde podiam ser coletadas à vontade.
Scripts de roubo de cartão de crédito escondidos em dados EXIF de favicon?
Como esses scripts maliciosos de roubo de cartão não estão contidos no próprio site invadido, é mais difícil para o software de segurança ou mesmo para os desenvolvedores da Web perceber que algo pode estar errado.

O Malwarebytes foi capaz de encontrar o kit usado para criar e executar esse ataque magecart. Após uma análise mais aprofundada, foi determinado que esse ataque poderia estar vinculado a um grupo de atores de ameaças conhecido como ‘Magecart 9’.

Esse grupo foi vinculado a outras técnicas inteligentes no passado, como o uso de web sockets para evitar a detecção.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Compartilhe:
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.