Есть все больше и больше гениальных способов украсть деньги онлайн. Одним из наиболее востребованных хакерами предметов являются кредитные карты, поскольку это быстро, прежде чем владелец это осознает. Также данные карт можно продать на теневом рынке. Теперь хацкерам удалось украсть данные карты, когда пользователь просто заходит на сайт. Они скрывают вирус для кражи в виде значка.
Об этом свидетельствует отчет, подготовленный Malwarebytes, где магазин, использующий плагин WordPress под названием WooCommerce, был заражен скриптом Magecart для кражи карт. Атаки Magecart заключаются только в следующем: внедрение вредоносного JavaScript в веб-сайт для кражи платежной информации у пользователей в процессе покупки.
Они скрывают вредоносный код внутри иконки
Что отличает эту атаку от других известных атак, так это то, что скрипт был внедрен не в веб-код, а в метаданные EXIF веб-значка. В метаданных обычно хранится информация, такая как создатель файла, дата создания или компьютер, на котором была создана или обработана фотография. Однако часть метаданных значка включает вредоносный JavaScript, как мы можем видеть рисунке ниже.
После того, как сценарий был выполнен в браузере пользователя, любая информация о кредитной карте, введенная в процессе покупки, была отправлена злоумышленникам, и они с этой инфой могут делать все. Группа, которая была связана с этой атакой, называется «Magecart Group 9».
Другой опасный момент этой атаки заключается в том, что favicon был размещен на внешнем домене, поэтому анализ безопасности веб-сайта продаж не дал бы никаких предупреждений. Таким образом, они получали такую информацию, как имя или адрес доставки размещенного заказа, и все повторно вводилось в изображения посредством запросов POST, что еще более затрудняло обнаружение отправки информации на сервер, контролируемый хакерами.