行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
黑客通过隐藏在图像元数据中的Web撇渣器瞄准在线商店
2020-06-27 14:47:42 【

Malwarebytes透露,一群网络犯罪分子设法将他们的网络撇渣器隐藏在图像的EXIF元数据中,然后这些图像被受感染的在线商店秘密加载。

尽管图像文件长期以来一直用于承载恶意代码和泄露数据(隐写术在几年前已成为黑客的流行trick俩),但将网络浏览器隐藏在图像文件中并不常见。

此类脚本旨在识别和窃取信用卡数据以及其他毫无疑问的用户在受感染的电子商务网站上输入的其他敏感信息,并将收集到的数据发送给活动运营商。

Malwarebytes的安全研究人员说,最近观察到的这种攻击之所以脱颖而出,不仅是因为使用了图像来隐藏撇取者,而且还因为它使用图像来窃取了被盗的信用卡数据。

根据Malwarebytes的说法,最初的java script是从运行WordPress的WooCommerce插件的在线商店加载的,其中多余的代码已附加到商家托管的合法脚本中。

该脚本将加载一个与受感染商店使用的favicon相同的favicon文件(其品牌的徽标),并且正在从该图像的“版权”元数据字段加载Web撇渣器。

撇取器的设计目的是像其他类似代码一样,捕获输入字段的内容,在线购物者可以在其中输入他们的姓名,账单地址和信用卡详细信息。

撇取器还对收获的数据进行编码,反转字符串,然后通过POST请求将信息作为图像文件发送到外部服务器。

Malwarebytes 指出: “威胁者可能决定坚持使用图像主题,以通过favicon.ico文件隐藏被泄露的数据。”

在调查过程中,安全研究人员在受感染网站的打开目录中找到了撇渣器工具包源代码的副本,这使他们可以了解如何使用版权字段内的注入脚本来制作favicon.ico文件。 。

Malwarebytes还能够识别早期版本的撇渣器,该撇渣器缺乏最新版本中存在的混淆功能,但具有相同的代码功能,并认为它可能与Magecart Group 9有关。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇该勒索软件冒充Covid-19追踪应用.. 下一篇谷歌将注资20亿美元 支援波兰数据..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800