Trong một trong những chiến dịch hack sáng tạo nhất, các băng đảng tội phạm mạng hiện đang che giấu các mã độc mã trong siêu dữ liệu của các tệp hình ảnh để đánh cắp thông tin thẻ thanh toán của khách truy cập trên các trang web bị tấn công.
“Chúng tôi đã tìm thấy mã lướt qua ẩn trong siêu dữ liệu của tệp hình ảnh (một dạng bản sao) và được lén lút tải bởi các cửa hàng trực tuyến bị xâm nhập,” Malwarebytes các nhà nghiên cứu cho biết tuần trước.
“Kế hoạch này sẽ không hoàn thành nếu không có một biến thể thú vị khác để làm lộ dữ liệu thẻ tín dụng bị đánh cắp. Một lần nữa, bọn tội phạm đã sử dụng cách ngụy trang của một tệp hình ảnh để thu thập chiến lợi phẩm của chúng.”
Chiến thuật phát triển của hoạt động, được biết đến rộng rãi như lướt web hoặc tấn công Magecart, xuất hiện khi các tác nhân xấu đang tìm các cách khác nhau để tiêm các tập lệnh JavaScript, bao gồm cấu hình sai dữ liệu AWS S3 xô lưu trữ và khai thác chính sách bảo mật nội dung để truyền dữ liệu đến Tài khoản Google Analytics dưới sự kiểm soát của họ.
Sử dụng Steganography để ẩn mã Skimmer trong EXIF
Ngân hàng theo xu hướng mua sắm trực tuyến ngày càng tăng, các cuộc tấn công này thường hoạt động bằng cách chèn mã độc vào một trang web bị xâm nhập, lén lút thu hoạch và gửi dữ liệu do người dùng nhập vào máy chủ của tội phạm mạng, do đó cho phép họ truy cập vào thông tin thanh toán của người mua hàng.
Trong chiến dịch tuần này, công ty an ninh mạng đã phát hiện ra rằng skimmer không chỉ phát hiện ra một cửa hàng trực tuyến chạy plugin WooC Commerce WordPress mà còn được chứa trong siêu dữ liệu EXIF (viết tắt của Định dạng tệp hình ảnh có thể thay đổi) cho một tên miền đáng ngờ (cddn.site) hình ảnh favicon.
Mỗi hình ảnh được nhúng thông tin về chính hình ảnh, chẳng hạn như nhà sản xuất và kiểu máy ảnh, ngày và giờ chụp ảnh, vị trí, độ phân giải và cài đặt camera, cùng với các chi tiết khác.
Sử dụng dữ liệu EXIF này, tin tặc đã thực thi một đoạn JavaScript được che giấu trong trường “Bản quyền” của hình ảnh favicon.
Các nhà nghiên cứu cho biết: “Cũng như các skimmer khác, cái này cũng lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng của họ”.
Ngoài việc mã hóa thông tin đã chụp bằng cách sử dụng Định dạng Base64 và đảo ngược chuỗi đầu ra, dữ liệu bị đánh cắp được truyền dưới dạng tệp hình ảnh để che giấu quá trình exfiltration.
Nói rằng hoạt động có thể là thủ công của Magecart Nhóm 9, Malwarebytes đã thêm mã JavaScript cho skimmer bị xáo trộn bằng cách sử dụng WiseLoop PHP JS Obfuscator thư viện.
Đây không phải là lần đầu tiên các nhóm Magecart sử dụng hình ảnh làm vectơ tấn công để thỏa hiệp các trang web thương mại điện tử. Trở lại vào tháng Năm, một số trang web bị tấn công đã được quan sát đang tải một favicon độc hại trên các trang thanh toán của họ và sau đó thay thế các hình thức thanh toán trực tuyến hợp pháp bằng một thay thế gian lận đánh cắp chi tiết thẻ người dùng.
Lạm dụng giao thức DNS để lọc dữ liệu từ trình duyệt
Nhưng các cuộc tấn công đánh cắp dữ liệu không nhất thiết phải bị giới hạn trong mã skimmer độc hại.
Trong một kỹ thuật riêng biệt được trình bày bởi Jessie Li, có thể lấy dữ liệu từ trình duyệt bằng cách tận dụng dns-prefetch, một phương pháp giảm độ trễ được sử dụng để giải quyết các tìm kiếm DNS có tên miền chéo trước khi các tài nguyên (ví dụ: tệp, liên kết) được yêu cầu.
Gọi là “lông mày, “Phần mềm nguồn mở bao gồm một máy chủ giải mã các tin nhắn được gửi bởi công cụ và thư viện JavaScript phía máy khách để mã hóa và truyền các tin nhắn.
Bản thân các tin nhắn là các chuỗi tùy ý được mã hóa trong một tên miền phụ của tên miền hàng đầu đang được trình duyệt giải quyết. Sau đó, công cụ lắng nghe các truy vấn DNS, thu thập các tin nhắn đến và giải mã chúng để trích xuất dữ liệu liên quan.
Nói cách khác, ‘lông mày’ có thể được sử dụng để tích lũy thông tin nhạy cảm khi người dùng thực hiện các hành động cụ thể trên trang web và sau đó đưa chúng đến máy chủ bằng cách ngụy trang dưới dạng lưu lượng DNS.
“Lưu lượng DNS không xuất hiện trong các công cụ gỡ lỗi của trình duyệt, không bị chặn bởi Chính sách bảo mật nội dung (CSP) của trang và thường không được kiểm tra bởi tường lửa hoặc proxy của công ty, làm cho nó trở thành phương tiện lý tưởng để buôn lậu dữ liệu trong các tình huống bị hạn chế”, Li nói.
