Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Хакеры научились прятать ПО для краж с кредиток в крошечных иконках браузеров
08.07.2020, Ср, 08:44, Мск , Текст: Роман Георгиев
Неожиданный способ прятать вредоносные скрипты, крадущие данные о платёжных картах, выявили эксперты MalwareBytes. Вредоносный скрипт подтягивается с внешних ресурсов, хотя для начала злоумышленникам приходится взламывать сайт и устанавливать на него ещё один скрипт, с виду безвредный.
Иконка вредоносности
Эксперты Malwarebytes обнаружили новый способ распространения вредоносных скриптов, крадущих данные о кредитных картах покупателей на онлайновых торговых площадках. Скрипты обнаружились в EXIF-данных иконок (или значков) веб-сайтов favicon. Такие иконки отображаются браузерами во вкладке перед названием страницы, а также в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса.
Эксперты Malwarebytes указывают, что хотя в стеганографии и даже во вредоносных скриптах в иконках нет ничего нового, полноценный онлайн-скиммер таким образом до сих пор никто не прятал.
EXIF — это технические данные, которые автор изображения может добавлять к графическому файлу по своему усмотрению. Также эти данные могут добавлять фотокамеры и графические редакторы автоматически.
Но сначала взлом
В данном случае злоумышленники взломали торговую площадку (на базе плагина WordPress WooCommerce) и добавили простой на вид скрипт, который подтягивал с удалённого ресурса favicon. Невинная иконка содержала вредоносный JavaScript, размещённый в поле Copyright.
Хакеры начали прятать онлайн-скиммеры для краж с кредиток в метаданных иконок сайтов
В итоге первый скрипт, сразу после подгрузки вредоносной иконки обеспечивает ещё и запуск второго скрипта, который начинает охоту на данные платёжных карт.
Поскольку сам скрипт скиммера располагается на другом сервере и лишь подтягивается на атакованный сайт, защитным средствам и веб-девелоперам может быть весьма сложно обнаружить угрозу.
Эксперты MalwareBytes смогли выявить вредоносный набор разработки, использованный для создания этих скриптов и осуществления атак. По их мнению, за атаками стоит группировка Magecart 9, которая и ранее проявляла большую находчивость в проведении скрытных атак.
«Вредоносные скрипты в изображениях всегда очень опасны; другое дело, что в данном случае установке такого экзотического скиммера предшествовал куда более приземлённый взлом торговой площадки, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Логично предположить, что злоумышленники либо использовали уже известную уязвимость в сайте, либо скомпрометировали администраторский аккаунт. Подобные атаки относительно легко предотвратить, если следить за обновлениями и использовать сложные пароли».
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
08.07.2020, Ср, 08:44, Мск , Текст: Роман Георгиев
Неожиданный способ прятать вредоносные скрипты, крадущие данные о платёжных картах, выявили эксперты MalwareBytes. Вредоносный скрипт подтягивается с внешних ресурсов, хотя для начала злоумышленникам приходится взламывать сайт и устанавливать на него ещё один скрипт, с виду безвредный.
Иконка вредоносности
Эксперты Malwarebytes обнаружили новый способ распространения вредоносных скриптов, крадущих данные о кредитных картах покупателей на онлайновых торговых площадках. Скрипты обнаружились в EXIF-данных иконок (или значков) веб-сайтов favicon. Такие иконки отображаются браузерами во вкладке перед названием страницы, а также в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса.
Эксперты Malwarebytes указывают, что хотя в стеганографии и даже во вредоносных скриптах в иконках нет ничего нового, полноценный онлайн-скиммер таким образом до сих пор никто не прятал.
EXIF — это технические данные, которые автор изображения может добавлять к графическому файлу по своему усмотрению. Также эти данные могут добавлять фотокамеры и графические редакторы автоматически.
Но сначала взлом
В данном случае злоумышленники взломали торговую площадку (на базе плагина WordPress WooCommerce) и добавили простой на вид скрипт, который подтягивал с удалённого ресурса favicon. Невинная иконка содержала вредоносный JavaScript, размещённый в поле Copyright.
Хакеры начали прятать онлайн-скиммеры для краж с кредиток в метаданных иконок сайтов
В итоге первый скрипт, сразу после подгрузки вредоносной иконки обеспечивает ещё и запуск второго скрипта, который начинает охоту на данные платёжных карт.
Поскольку сам скрипт скиммера располагается на другом сервере и лишь подтягивается на атакованный сайт, защитным средствам и веб-девелоперам может быть весьма сложно обнаружить угрозу.
Эксперты MalwareBytes смогли выявить вредоносный набор разработки, использованный для создания этих скриптов и осуществления атак. По их мнению, за атаками стоит группировка Magecart 9, которая и ранее проявляла большую находчивость в проведении скрытных атак.
«Вредоносные скрипты в изображениях всегда очень опасны; другое дело, что в данном случае установке такого экзотического скиммера предшествовал куда более приземлённый взлом торговой площадки, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Логично предположить, что злоумышленники либо использовали уже известную уязвимость в сайте, либо скомпрометировали администраторский аккаунт. Подобные атаки относительно легко предотвратить, если следить за обновлениями и использовать сложные пароли».
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links