Hackers escondem script de roubo de cartão de crédito em metadados favicon

Um ataque comum usado para roubar cartões de crédito é invadir o site e injetar scripts JavaScript maliciosos que roubam informações de pagamento enviadas quando um cliente faz uma compra.

Esses cartões de crédito roubados são então devolvidos a um servidor sob o controle dos agentes de ameaças onde são coletados e usados ​​para compras fraudulentas ou para venda nos mercados criminosos da dark web.

Esses tipos de ataques são chamados Magecart e foram usados ​​em sites de empresas conhecidas como Claire's , Tupperware ,  Smith & Wesson , Macy's e British Airways .

Evoluindo continuamente para roubar melhor seus cartões de crédito

Em um novo relatório de uma empresa de segurança da informação, uma loja on-line usando o plugin WooCommerce do WordPress foi infectada com um script Magecart para roubar os cartões de crédito dos clientes. 

O que fez esse ataque se destacar foi que os scripts usados ​​para capturar dados das formas de pagamento não foram adicionados diretamente ao site, mas estavam contidos nos dados EXIF ​​da imagem favicon de um site remoto.

O abuso de cabeçalhos de imagem para ocultar códigos maliciosos não é  novo , mas é a primeira vez que o testemunhamos com um escumador de cartão de crédito.

Quando as imagens são criadas, o desenvolvedor pode incorporar informações como o artista que as criou, informações sobre a câmera, informações sobre direitos autorais e até o local da imagem.

Essas informações são chamadas de dados EXIF ​​(Exchangeable Image File Format).

Nesse ataque, os atores da ameaça invadiram um site e adicionaram o que parece ser um script simples que insere uma imagem favicon remota e faz algum processamento.

Após uma investigação mais aprofundada, foi descoberto que esse favicon, embora pareça inofensivo, na verdade continha scripts JavaScript maliciosos incorporados em seus dados EXIF, conforme mostrado na imagem abaixo.

Depois que a imagem favicon era carregada na página, os scripts adicionados ao site pelos hackers carregavam os scripts maliciosos incorporados da imagem.

Depois que esses scripts foram carregados, todas as informações de cartão de crédito enviadas nas páginas de checkout foram enviadas de volta aos atacantes, onde podiam ser coletadas à vontade.

Como esses scripts maliciosos de roubo de cartão não estão contidos no próprio site invadido, é mais difícil para o software de segurança ou mesmo para os desenvolvedores da Web perceber que algo pode estar errado.

Após uma análise mais aprofundada, foi determinado que esse ataque poderia estar vinculado a um grupo de atores de ameaças conhecido como 'Magecart 9'.

Esse grupo foi vinculado a outras técnicas inteligentes no passado, como o uso de web sockets para evitar a detecção.