ИБ-специалисты из компании MalwareBytes обнаружили нестандартный метод по скрытию вредоносного кода, который предназначен для кражи данных банковских карт. Киберпреступники подтягивают софт с внешних ресурсов, хотя сначала хакеры должны взломать сайт и инсталлировать на него безвредный, на первый взгляд, скрипт.
Специалисты по информационной безопасности из MalwareBytes нашли вредоносные скрипты в EXIF-данных иконок сайтов favicon. Подобные иконки демонстрируются веб-браузерами во вкладке перед названием сайта, а также в виде картинки перед названием закладки и в других элементах интерфейса.
Исследователи из MalwareBytes отмечают, что данный подход с использованием стеганографии и упаковывания вредоносных скриптов в иконки не является революционно новым, однако ни один киберпреступник ранее не прятал рабочий online-скриммер подобным образом. EXIF – техданные, которые авто изображения может добавить к картинке, если пожелает. Подобные сведения также могут в автоматическом режиме включать фотокамеры и ПО для работы с графикой.
Эксперты из MalwareBytes обнаружили новый способ после того, как киберпреступники взломали торговую площадку, работающая на основе WordPress WooCommerce, просто добавив простой скрипит, который подтянул с внешнего сайта favicon. В обычной иконке содержался вредоносный JS-скрипит, который был размещен в поле Copyright.
После загрузки иконки вредоносный скрипт запускал автоматически следующий скрипт, который и искал данные банковских карт. Средства защиты и web-девелоперы не могли обнаружить вредоносный код, потому что скрипт скриммера физически находится на удаленном сервере и лишь подгружается на атакуемый портал. Специалистам из MalwareBytes удалось обнаружить вредоносный набор разработки, который использовался для создания подобных скриптов и ведения кибератак. По мнению экспертов, кибератаки совершались со стороны злоумышленников из группы Magecart 9, которая давно известна в сфере киберпреступности инновационным и нестандартным подходом к реализации незаметных кибератак.