Los piratas informáticos del sitio de comercio electrónico ahora ocultan al ladrón de tarjetas de crédito dentro de los metadatos de la imagen

En lo que es una de las campañas de piratería informática más innovadoras, las pandillas de ciberdelincuentes ahora ocultan implantes de códigos maliciosos en los metadatos de los archivos de imagen para robar de forma encubierta la información de la tarjeta de pago ingresada por los visitantes en los sitios web pirateados.

«Encontramos código de desnatado oculto dentro de los metadatos de un archivo de imagen (una forma de esteganografía) y cargado subrepticiamente por tiendas en línea comprometidas», dijeron los investigadores de Malwarebytes la semana pasada.

«Este esquema no estaría completo sin otra variación interesante para exfiltrar datos de tarjetas de crédito robadas. Una vez más, los delincuentes usaron el disfraz de un archivo de imagen para recolectar su botín».

La táctica en evolución de la operación, ampliamente conocida como web skimming o ataque Magecart, surge cuando los malos actores encuentran diferentes formas de inyectar scripts de JavaScript, incluidos depósitos de almacenamiento de datos AWS S3 mal configurados y la explotación de la política de seguridad de contenido para transmitir datos a una cuenta de Google Analytics. bajo su control.

Uso de esteganografía para ocultar el código Skimmer en EXIF

Aprovechando la creciente tendencia de las compras en línea, estos ataques generalmente funcionan insertando un código malicioso en un sitio comprometido, que recopila y envía subrepticiamente los datos ingresados ​​​​por el usuario al servidor de un ciberdelincuente, lo que les da acceso a la información de pago de los compradores.

imagen de metadatos

En esta campaña de una semana, la empresa de ciberseguridad descubrió que el skimmer no solo se descubrió en una tienda en línea que ejecutaba el complemento WooCommerce WordPress, sino que también estaba contenido en los metadatos EXIF ​​​​(abreviatura de Exchangeable Image File Format) para un dominio sospechoso (cddn .site ) imagen de favicon.

Cada imagen viene incrustada con información sobre la imagen en sí, como el fabricante y el modelo de la cámara, la fecha y la hora en que se tomó la foto, la ubicación, la resolución y la configuración de la cámara, entre otros detalles.

Usando estos datos EXIF, los piratas informáticos ejecutaron una pieza de JavaScript que estaba oculta en el campo «Copyright» de la imagen del favicon.

«Al igual que con otros skimmers, este también captura el contenido de los campos de entrada donde los compradores en línea ingresan su nombre, dirección de facturación y detalles de la tarjeta de crédito», dijeron los investigadores.

Además de codificar la información capturada utilizando el formato Base64 e invertir la cadena de salida, los datos robados se transmiten en forma de archivo de imagen para ocultar el proceso de exfiltración.

Al afirmar que la operación podría ser obra de Magecart Group 9, Malwarebytes agregó que el código JavaScript para el skimmer está ofuscado usando la biblioteca WiseLoop PHP JS Obfuscator.

skimmer web javascript

Esta no es la primera vez que los grupos de Magecart utilizan imágenes como vectores de ataque para comprometer sitios web de comercio electrónico. En mayo, se observó que varios sitios web pirateados cargaban un favicon malicioso en sus páginas de pago y reemplazaban los formularios de pago en línea legítimos con un sustituto fraudulento que robaba los detalles de la tarjeta del usuario.

Abusar del protocolo DNS para filtrar datos del navegador

Pero los ataques de robo de datos no tienen que limitarse necesariamente al código de skimmer malicioso.

En una técnica separada demostrada por Jessie Li, es posible robar datos del navegador aprovechando dns-prefetch, un método de reducción de latencia utilizado para resolver búsquedas de DNS en dominios de origen cruzado antes de que se soliciten recursos (por ejemplo, archivos, enlaces).

Llamado «browsertunnel», el software de código abierto consta de un servidor que decodifica los mensajes enviados por la herramienta y una biblioteca de JavaScript del lado del cliente para codificar y transmitir los mensajes.

piratería de captación previa de dns

Los mensajes en sí son cadenas arbitrarias codificadas en un subdominio del dominio principal que el navegador resuelve. Luego, la herramienta escucha las consultas de DNS, recopila los mensajes entrantes y los decodifica para extraer los datos relevantes.

Dicho de otra manera, el ‘túnel de navegación’ se puede usar para acumular información confidencial a medida que los usuarios realizan acciones específicas en una página web y el exceso los filtra a un servidor disfrazándolo como tráfico DNS.

«El tráfico DNS no aparece en las herramientas de depuración del navegador, no está bloqueado por la Política de seguridad de contenido (CSP) de una página y, a menudo, no es inspeccionado por servidores de seguridad o servidores proxy corporativos, lo que lo convierte en un medio ideal para el contrabando de datos en escenarios restringidos», dijo Li. dijo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática