Les hackers font toujours évoluer leurs tactiques pour garder une longueur d’avance sur les sociétés de sécurité. Un parfait exemple de ceci est la dissimulation de scripts de vol de carte de crédit malveillants dans les données EXIF ​​d’une image favicon pour échapper à la détection.

Une attaque courante utilisée pour voler des cartes de crédit consiste à pirater le site Web et à injecter des scripts JavaScript malveillants qui volent les informations de paiement soumises lorsqu’un client effectue un achat.

Ces cartes de crédit volées sont ensuite renvoyées à un serveur sous le contrôle des acteurs de la menace où elles sont collectées et utilisées pour des achats frauduleux ou pour vendre sur les marchés criminels du dark web.

Ces types d’attaques s’appellent Magecart et ont été utilisés sur des sites Web pour des sociétés bien connues telles que Claire’s, Tupperware, Smith & Wesson, Macy’s et British Airways.

En constante évolution pour mieux voler vos cartes de crédit

Dans un nouveau rapport de Malwarebytes, une boutique en ligne utilisant le plugin WordPress WooCommerce a été trouvée infectée par un script Magecart pour voler les cartes de crédit des clients.

Ce qui a fait ressortir cette attaque, c’est que les scripts utilisés pour capturer les données des formulaires de paiement n’ont pas été ajoutés directement au site mais étaient contenus dans les données EXIF ​​pour l’image favicon d’un site distant.

« L’abus d’en-têtes d’images pour cacher du code malveillant n’est pas nouveau, mais c’est la première fois que nous en sommes témoins avec un skimmer de carte de crédit », a déclaré Jérôme Segura de Malwarebytes dans le rapport.

Infos WEB:  Amazon commence à vendre des articles de magasins de quartier en Inde dans le cadre de l'accord de Facebook avec Jio - TechCrunch

Lorsque les images sont créées, le développeur peut intégrer des informations telles que l’artiste qui les a créées, des informations sur l’appareil photo, les informations de copyright et même l’emplacement de l’image.

Ces informations sont appelées données EXIF ​​(Exchangeable Image File Format).

Dans cette attaque, les acteurs de la menace ont piraté un site Web et ajouté ce qui semble être un simple script qui insère une image de favicon à distance et effectue un certain traitement.

Après une enquête plus approfondie, Malwarebytes a découvert que ce favicon, tout en …

Voir la source de cette publication