Преступники скрывают web-скиммеры в метаданных изображений

Специалисты из компании Malwarebytes обнаружили вредоносную кампанию, в рамках которой киберпреступники внедряли скимминг-код в EXIF-метаданные фавикона (значок web-сайта) и тайно загружали его на страницы скомпрометированных интернет-магазинов.

На одном из неназванных скомпрометированных сайтов исследователи обнаружили копию исходных кодов скиммера и заметили, что обычный файл favicon.ico содержит внедренный скрипт внутри поля Copyright.

Как пояснили эксперты, web-скиммер был найден в EXIF-метаданных файла, который загружался скомпрометированными интернет-магазинами вместе с плагином WooCommerce для WordPress. Вредоносный код для загрузки опасного изображения добавлялся к легитимному скрипту на сайтах магазинов. Специалисты проследили вредоносную активность до сайта cddn[.]site, с которого загружался вредоносный фавикон. Киберпреступники использовали фавиконы, идентичные настоящим в скомпрометированных магазинах, а web-скиммер подгружался из поля Copyright в метаданных изображения при помощи тега <img>.

Как и прочие инструменты подобного рода, скиммер похищал содержимое полей ввода, включая имена пользователей, платежный адрес, данные кредитных карт и пр. Похищенную информацию скиммер кодировал в Base64, разворачивал строку и путем POST-запроса передавал данные в виде файла изображения на удаленный сервер преступников.

Как предполагает исследователь безопасности, использующий псевдоним @Affable Kraut, скиммер может быть связан с киберпреступной группировкой Magecart Group 9. Домен (magentorates[.]Com), использующий данную технику скимминга метаданных EXIF, имеет тот же болгарский хостинг-провайдер и был зарегистрирован в течение недели после magerates[.]cом, ранее связываемого с Magecart Group 9.