Los hackers del sitio de comercio electrónico ahora ocultan el robo de tarjetas de crédito Metadatos de imagen interior

Los hackers del sitio de comercio electrónico ahora ocultan el robo de tarjetas de crédito Metadatos de imagen interior 1

En cu√°l es una de las campa√Īas de pirater√≠a m√°s innovadoras, las pandillas de delitos inform√°ticos ahora ocultan implantes de c√≥digos maliciosos en los metadatos de los archivos de im√°genes para robar secretamente la informaci√≥n de la tarjeta de pago ingresada por los visitantes en los sitios web pirateados.

“Encontramos c√≥digo de ocultaci√≥n oculto dentro de los metadatos de un archivo de imagen (una forma de esteganograf√≠a) y cargado subrepticiamente por tiendas en l√≠nea comprometidas”, dijeron investigadores de Malwarebytes la semana pasada.

“Este esquema no estar√≠a completo sin otra variaci√≥n interesante para extraer datos de tarjetas de cr√©dito robadas. Una vez m√°s, los delincuentes utilizaron el disfraz de un archivo de imagen para recolectar su bot√≠n”.

La táctica evolutiva de la operación, ampliamente conocida como descremado web o ataque de Magecart, se produce cuando los malos actores están encontrando diferentes formas de inyectar scripts JavaScript, incluidos los cubos de almacenamiento de datos AWS S3 mal configurados y explotar la política de seguridad de contenido para transmitir datos a una cuenta de Google Analytics bajo su control

Uso de esteganografía para ocultar el código del skimmer en EXIF

Aprovechando la tendencia creciente de las compras en l√≠nea, estos ataques generalmente funcionan insertando c√≥digo malicioso en un sitio comprometido, que recolecta y env√≠a subrepticiamente datos ingresados ‚Äč‚Äčpor el usuario al servidor de un ciberdelincuente, lo que les da acceso a la informaci√≥n de pago de los compradores.

metadatos de imagen

En esta campa√Īa de una semana, la firma de ciberseguridad descubri√≥ que el skimmer no solo se descubri√≥ en una tienda en l√≠nea que ejecuta el complemento WooCommerce WordPress sino que estaba contenido en los metadatos EXIF ‚Äč‚Äč(abreviatura de formato de archivo de imagen intercambiable) para un dominio sospechoso (cddn.site ) imagen favicon.

Cada imagen viene integrada con información sobre la imagen en sí, como el fabricante y el modelo de la cámara, la fecha y la hora en que se tomó la foto, la ubicación, la resolución y la configuración de la cámara, entre otros detalles.

Utilizando estos datos EXIF, los piratas inform√°ticos ejecutaron un fragmento de JavaScript que estaba oculto en el campo “Copyright” de la imagen favicon.

“Al igual que con otros skimmers, este tambi√©n capta el contenido de los campos de entrada donde los compradores en l√≠nea ingresan su nombre, direcci√≥n de facturaci√≥n y detalles de la tarjeta de cr√©dito”, dijeron los investigadores.

Además de codificar la información capturada utilizando el formato Base64 e invertir la cadena de salida, los datos robados se transmiten en forma de un archivo de imagen para ocultar el proceso de exfiltración.

Declarar que la operación podría ser obra del Grupo Magecart 9, Malwarebytes agregó que el código JavaScript para el skimmer se ofusca usando la biblioteca WiseLoop PHP JS Obfuscator.

skimmer web javascript

Esta no es la primera vez que los grupos de Magecart utilizan imágenes como vectores de ataque para comprometer los sitios web de comercio electrónico. En mayo, se observó que varios sitios web pirateados cargaban un favicon malicioso en sus páginas de pago y luego reemplazaban los formularios de pago legítimos en línea con un sustituto fraudulento que robaba los datos de la tarjeta de usuario.

Abusar del protocolo DNS para filtrar datos del navegador

Pero los ataques de robo de datos no tienen que limitarse necesariamente al código de skimmer malicioso.

En una t√©cnica separada demostrada por Jessie Li, es posible robar datos del navegador al aprovechar dns-prefetch, un m√©todo de reducci√≥n de latencia utilizado para resolver b√ļsquedas de DNS en dominios de origen cruzado antes de que se soliciten recursos (por ejemplo, archivos, enlaces).

Llamado “browsertunnel”, el software de c√≥digo abierto consiste en un servidor que decodifica los mensajes enviados por la herramienta y una biblioteca JavaScript del lado del cliente para codificar y transmitir los mensajes.

dns prefetch piratería

Los mensajes en sí son cadenas arbitrarias codificadas en un subdominio del dominio superior que el navegador está resolviendo. Luego, la herramienta escucha las consultas DNS, recopila los mensajes entrantes y los decodifica para extraer los datos relevantes.

Dicho de otra manera, ‘browsertunnel’ se puede usar para acumular informaci√≥n confidencial a medida que los usuarios realizan acciones espec√≠ficas en una p√°gina web y posteriormente las filtran a un servidor disfraz√°ndola como tr√°fico DNS.

“El tr√°fico DNS no aparece en las herramientas de depuraci√≥n del navegador, no est√° bloqueado por la Pol√≠tica de seguridad de contenido (CSP) de una p√°gina, y a menudo no es inspeccionado por firewalls o proxies corporativos, lo que lo convierte en un medio ideal para el contrabando de datos en escenarios restringidos”. dijo.