Hackers escondem skimmers MageCart em botões de mídia social

Hackers hide MageCart skimmers

Analistas da Sanguine Security descobriram que hackers estão usando esteganografia e escondendo skimmers MageCart em botões projetados para postar conteúdo nas redes sociais.

Deixe-me lembrá-lo que inicialmente o nome MageCart foi atribuído a um grupo de hackers, que foi o primeiro a introduzir web skimmers (JavaScript malicioso) nas páginas das lojas online para roubar dados de cartões bancários. Surpreendentemente, esta abordagem teve tanto sucesso que o grupo logo teve numerosos imitadores, o nome MageCart se tornou um nome familiar, e agora é atribuído a todas as classes de tais ataques.

Esteganografia significa ocultar informações em outro formato (por exemplo, texto dentro de imagens, imagens dentro de vídeos, e assim por diante).

Nos últimos anos, a forma mais comum de ataques esteganográficos tem sido ocultar cargas maliciosas em arquivos de imagem, geralmente nos formatos PNG ou JPG. Pesquisadores da Sanguine Security contam.

Operadores de web skimmers também não ficaram longe dessa tendência e esconderam seus códigos maliciosos em logotipos de sites, imagens do produto ou no favicon dos recursos infectados.

Agora, Os especialistas da Sanguine Security escrevem que os arquivos SVG, em vez de arquivos PNG ou JPG, são usados ​​em novos ataques para ocultar códigos maliciosos. Provavelmente, isso se deve ao fato de que recentemente, soluções de proteção tornaram-se melhores na detecção de skimmers em fotos comuns.

Em teoria, deveria ser mais fácil detectar códigos maliciosos em imagens vetoriais. No entanto, os pesquisadores escrevem que os invasores são inteligentes e projetaram sua carga com essas nuances em mente.

A carga maliciosa assume a forma de um HTML “SVG” elemento usando o “caminho” elemento como um contêiner para a carga útil. A carga útil em si é ocultada usando uma sintaxe que se assemelha ao uso correto do “SVG” elemento.says the experts' report.

De acordo com os especialistas, hackers testaram essa técnica em junho, e foi descoberto em sites de comércio eletrônico ativos em setembro, com cargas maliciosas escondidas dentro de botões projetados para publicar conteúdo em redes sociais (Google, Facebook, Twitter, Instagram, YouTube, Pinterest etc.).

Em lojas infectadas, assim que os usuários navegaram para a página de checkout, um componente secundário (chamado de decodificador) lê o código malicioso escondido dentro de ícones de mídia social e, em seguida, baixa um keylogger que capturaria e roubaria informações de cartão bancário do formulário de checkout.

O que poderia ser o próximo, eu disse, por exemplo, em uma nota: Agrupamentos Magecart extraem dados de cartões roubados através do telegrama.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *