电子商务网站黑客现在将信用卡窃取者隐藏在图像元数据中

在这场最具创新性的黑客攻击活动中，网络犯罪团伙正在图像文件的元数据中隐藏恶意代码，以秘密窃取访客在被黑客攻击的网站上输入的支付卡信息。

Malwarebytes的研究人员上周表示：“我们发现，略读代码隐藏在一个图像文件（一种隐写术）的元数据中，并被泄露的在线商店秘密加载。”。

“如果没有另一个有趣的变体来过滤被盗的信用卡数据，这个计划将不完整。犯罪分子再次利用图像文件的伪装来收集他们的赃物。”

这项行动不断演变的策略被广泛称为网络浏览或Magecart攻击，与此同时，坏行为者正在寻找不同的方式注入JavaScript脚本，包括错误配置的AWS S3数据存储桶，以及利用内容安全策略将数据传输到其控制下的谷歌分析账户。

使用隐写术隐藏EXIF中的略读代码

基于网络购物日益增长的趋势，这些攻击通常通过在受损网站中插入恶意代码来起作用，该网站会秘密收集用户输入的数据，并将其发送到网络罪犯的服务器，从而让他们能够访问购物者的支付信息。


这家网络安全公司在这一周前的活动中发现，该略读器不仅在运行WooCommerce WordPress插件的在线商店中被发现，而且还包含在可疑域（cddn.site）favicon图像的EXIF（可交换图像文件格式的缩写）元数据中。

每个图像都嵌入了有关图像本身的信息，例如相机制造商和型号、拍摄日期和时间、位置、分辨率和相机设置等细节。

黑客利用这些EXIF数据执行了一段隐藏在favicon图像“版权”字段中的JavaScript。

研究人员说：“和其他的略读器一样，这一个还可以抓取输入字段的内容，在线购物者在输入字段中输入自己的姓名、账单地址和信用卡详细信息。”。

除了使用Base64格式对捕获的信息进行编码并反转输出字符串外，窃取的数据还以图像文件的形式传输，以隐藏过滤过程。

Malwarebytes称，该操作可能是Magecart Group 9的手工操作，它添加了用于略读器的JavaScript代码，并使用WiseLoop PHP JS模糊器库对其进行模糊处理。


这不是Magecart组织第一次使用图像作为攻击载体来危害电子商务网站。早在5月，有人观察到几家被黑客攻击的网站在其结账页面上加载了恶意favicon，随后用窃取用户卡详细信息的欺诈替代品替换了合法的在线支付表单。

滥用DNS协议从浏览器中过滤数据

但数据窃取攻击并不一定局限于恶意的略读代码。

在Jessie Li演示的另一种技术中，可以通过利用dns预取从浏览器中窃取数据，这是一种减少延迟的方法，用于在请求资源（例如文件、链接）之前解决跨来源域上的dns查找问题。

这个名为“browsertunnel”的开源软件由一个对该工具发送的消息进行解码的服务器和一个对消息进行编码和传输的客户端JavaScript库组成。


消息本身是在浏览器解析的顶级域的子域中编码的任意字符串。然后，该工具监听DNS查询，收集传入消息，并对其进行解码以提取相关数据。

换句话说，“browsertunnel”可以用来收集敏感信息，因为用户在网页上执行特定操作，然后通过伪装成DNS流量将其过滤到服务器。

“DNS流量不会出现在浏览器的调试工具中，也不会被页面的内容安全策略（CSP）阻止，而且通常不会被公司防火墙或代理检查，这使其成为在受限场景中走私数据的理想媒介，”李晓波说。