Dati delle carte di credito rubati usando codice nascosto nei metadati EXIF delle immagini

Malwarebytes scopre che almeno un gruppo di criminali informatici ha iniziato a usare una nuova tattica per rubare i dati delle carte di credito dai siti di ecommerce. Come funziona l'aggressione.
Michele Nasi
Pubblicato il 26 giu 2020
Dati delle carte di credito rubati usando codice nascosto nei metadati EXIF delle immagini

I malware writer, si sa, sono continuamente alla ricerca di nuovi strumenti e metodologie per sottrarre il loro codice malevolo alle verifiche poste in essere dalle principali soluzioni per la sicurezza informatica.
Malwarebytes ha appena scoperto l’utilizzo di immagini favicon malevoli all’interno di siti di ecommerce precedentemente violati da parte di aggressori.

La favicon (abbreviazione di favorite icon) è una piccola immagine usata come simbolo del sito web in corso di visita (spesso è una versione ridotta del logo). Tale immagine viene mostrata da parte dei browser web a sinistra dell’URL, nella barra degli indirizzi.

L’espediente utilizzato dai criminali informatici è chiaro: una volta attaccato un sito per il commercio elettrico (ad esempio sfruttando falle del CMS lasciato sprovvisto degli ultimi aggiornamenti di sicurezza o configurazioni insicure lato server), il favicon viene modificato con una versione che, solo all’apparenza, mostra sempre l’immagine originale ma che di fatto provoca anche il caricamento di codice JavaScript studiato per sottrarre e trasferire a terzi i dati delle carte di credito usate dagli utenti per fare acquisti sulla piattaforma online.

Come spiegano gli esperti di Malwarebytes, il codice JavaScript viene inserito (in forma offuscata) all’interno del campo Copyright come metadato dell’immagine favicon.

Dal momento che il browser legge e gestisce anche il codice JavaScript contenuto nei metadati della favicon, gli aggressori informatici hanno così potuto realizzare una versione “dematerializzata” dei tradizionali skimmer per le carte di credito che hanno in passato rappresentato e che talvolta possono costituire ancor oggi un problema nel caso degli sportelli ATM dei vari istituti di credito.

Malwarebytes ha nel frattempo aggiornato le sue soluzioni software per riconoscere e neutralizzare la modalità di attacco in questione facendo presente che al momento i siti di ecommerce più bersagliati sono quelli basati su WooCommerce per WordPress.

Ti consigliamo anche

Aumentati del 466% attacchi DDoS contro Svezia dopo l'adesione alla NATO
Vulnerabilità

Aumentati del 466% attacchi DDoS contro Svezia dopo l'adesione alla NATO
Nuova variante LockBit: la funzione di auto-diffusione preoccupa gli esperti
Vulnerabilità

Nuova variante LockBit: la funzione di auto-diffusione preoccupa gli esperti
Violato software per taxi: rubati dati di oltre 300.000 passeggeri
Vulnerabilità

Violato software per taxi: rubati dati di oltre 300.000 passeggeri
Ritorno della vulnerabilità Spectre: le modifiche sul registro di Windows per mettersi al sicuro
Vulnerabilità

Ritorno della vulnerabilità Spectre: le modifiche sul registro di Windows per mettersi al sicuro
Link copiato negli appunti