Peretas kini menyembunyikan kod JavaScript berbahaya ke dalam metadata EXIF fail gambar favicon, yang kemudian dapat dimuat ke laman web laman web e-dagang yang dikompromikan untuk mencuri maklumat pembayaran, menurut firma keselamatan Malwarebytes.
“Kami menemui kod skimming yang tersembunyi di dalam metadata fail gambar (bentuk steganografi) dan diam-diam dimuat oleh kedai dalam talian yang dikompromikan.
Skim ini tidak akan lengkap tanpa ada lagi variasi menarik untuk mengasingkan data kad kredit yang dicuri.
Sekali lagi, penjenayah menggunakan penyamaran fail gambar untuk mengumpulkan barang rampasan mereka, “tulis Jerome Segura, Pengarah Malwarebytes of Threat Intelligence, dalam catatan blog.
Serangan biasa yang dimaksudkan di sini adalah Magecart, di mana penggodam menyuntik kod jahat ke laman web membeli-belah dalam talian untuk mencuri maklumat kad kredit pelanggan ketika mereka memasukkan bukti kelayakan di halaman pembayaran.
Maklumat ini kemudian dihantar kembali ke pelayan di bawah kawalan penggodam di mana ia dikumpulkan dan digunakan untuk pembelian palsu atau untuk menjual di laman web gelap.
Syarikat-syarikat terkenal seperti Claire, Tupperware, Smith & Wesson, Macy’s, dan British Airways telah menjadi mangsa serangan Magecart.
Konsep menyembunyikan kod berbahaya dalam fail gambar adalah teknik lama, tetapi ini adalah pertama kalinya ia tersembunyi di sebalik favicon laman web, yang merupakan fail yang mengandungi satu atau lebih ikon kecil, yang dikaitkan dengan laman web atau laman web tertentu.
Pasukan Malwarebytes mengesan kod jahat dari kedai dalam talian yang menjalankan plugin WooCommerce untuk WordPress.
WooCommerce semakin menjadi sasaran penjenayah siber, kerana mempunyai pangsa pasar yang besar.
“Serangan itu adalah variasi yang menggunakan favicon, tetapi dengan kelainan.
Kod berniat jahat dijejaki kembali ke domain jahat, cddn[.]laman web, yang dimuat melalui fail favicon.
Walaupun kod itu sendiri tidak tampak berbahaya pada pandangan pertama, bidang yang disebut “Hak Cipta” di bidang metadata memuat kad skimmer menggunakan < img > tag header, khususnya melalui peristiwa kesalahan HTML, yang mencetuskan jika berlaku kesalahan semasa memuat sumber luaran, ”seperti yang dijelaskan oleh ZDNet.
Setelah memuatkan kod jahat ini oleh laman web e-dagang, ia akan mencuri maklumat kad pembayaran yang dimasukkan oleh pelanggan di halaman pembayaran, seperti nombor kad, tarikh luput dan CVV, beserta nama dan alamat pemilik kad.
Oleh kerana skrip mencuri kad jahat ini dapat disembunyikan di mana sahaja, ia menjadikannya lebih berbahaya kerana perisian keselamatan atau pembangun web tidak mungkin ada sesuatu yang salah.
Pasukan Malwarebytes telah menghubungkan serangan magecart dengan kumpulan pelakon ancaman yang dikenali sebagai ‘Magecart 9’, yang sebelumnya menggunakan soket web untuk mengelakkan pengesanan.