Un groupe de cybercriminels a réussi à cacher leur skimmer Web dans les métadonnées EXIF ​​d’une image qui a ensuite été subrepticement chargée par des magasins en ligne compromis, révèle Malwarebytes.

Bien que les fichiers image soient utilisés depuis longtemps pour transporter du code malveillant et exfiltrer des données (la stéganographie est devenue une astuce populaire parmi les pirates il y a plusieurs années), il est inhabituel d’avoir des skimmers Web cachés dans les fichiers image.

Ces scripts sont conçus pour identifier et voler les données de carte de crédit et autres informations sensibles que les utilisateurs sans méfiance saisissent sur les sites Web de commerce électronique compromis et pour envoyer les données récoltées aux opérateurs de campagne.

L’attaque récemment observée, selon les chercheurs en sécurité de Malwarebytes, se démarque non seulement en raison de l’utilisation d’images pour masquer les skimmers, mais aussi parce qu’elle utilise des images pour exfiltrer les données de cartes de crédit volées.

Selon Malwarebytes, un premier JavaScript est en cours de chargement à partir d’une boutique en ligne exécutant le plug-in WooCommerce pour WordPress, où du code étranger avait été ajouté à un script légitime hébergé par le marchand.

Le script chargerait un fichier favicon identique au favicon utilisé par le magasin compromis (un logo de leur marque), et le skimmer Web était chargé à partir du champ de métadonnées Copyright de cette image.

L’écumoire a été conçue pour saisir le contenu des champs de saisie où les acheteurs en ligne saisissent leur nom, leur adresse de facturation et les détails de leur carte de crédit, tout comme le font d’autres codes similaires.

Le skimmer code également les données récoltées, inverse la chaîne et envoie les informations à un serveur externe sous forme de fichier image, via une requête POST.

«Les acteurs de la menace ont probablement décidé de s’en tenir au thème de l’image pour cacher également les données exfiltrées via le fichier favicon.ico», note Malwarebytes.

Au cours de leur enquête, les chercheurs en sécurité ont trouvé une copie du code source de la boîte à outils de l’écumoire dans un répertoire ouvert d’un site compromis, qui fournissait …