黑客将信用卡窃取脚本隐藏在收藏图元数据中

黑客总是在不断改进他们的策略，以保持领先于安全公司一步。一个很好的例子就是在Favicon图像的EXIF数据中隐藏恶意信用卡窃取脚本以逃避检测。

用于窃取信用卡的一种常见攻击是侵入网站，并注入恶意JavaScript脚本，这些脚本在客户进行购买时窃取他们提交的支付信息。

然后，这些被盗信用卡被送回受威胁行为者控制的服务器，在那里它们被收集起来，用于欺诈性购买或在黑暗的网络犯罪市场上出售。

这些类型的攻击被称为Magecart，已经被克莱尔百货、特百惠、美国史密斯和韦森、梅西百货和英国航空公司等知名公司的网站使用。

在Malwarebytes的一份新报告中，一家使用WordPress WooCommerce插件的在线商店被发现感染了Magecart脚本，从而窃取了客户的信用卡。

让这次攻击脱颖而出的是，用于从支付表单捕获数据的脚本没有直接添加到站点中，而是包含在远程站点的收藏夹图标图像的EXIF数据中。

滥用图片标题来隐藏恶意代码并不是什么新鲜事，但这是我们第一次用信用卡掠夺器目睹这种情况，杰罗姆·塞古拉(Jérôme Segura)在报告中表示，Malwarebytes'；Jérôme Segura在报告中表示。

当创建图像时，开发人员可以嵌入信息，如创建它的艺术家、有关相机的信息、版权信息，甚至图片的位置。

在这次攻击中，威胁分子侵入了一个网站，并添加了一个看似简单的脚本，该脚本插入了一个远程收藏图标图像，并进行了一些处理。

进一步调查后，Malwarebytes发现这个图标虽然看似无害，但实际上包含嵌入在其EXIF数据中的恶意JavaScript脚本，如下图所示。

一旦Favicon图像加载到页面中，黑客添加到网站的脚本就会加载该图像嵌入的恶意掠夺器脚本。

一旦加载了这些脚本，在结账页面上提交的任何信用卡信息都会发回给攻击者，攻击者可以在那里从容不迫地收集这些信息。

由于这些恶意盗卡脚本并不包含在被黑客攻击的网站本身，因此安全软件甚至网页开发人员更难注意到可能出了问题。

MalwareBytes能够找到用于创建和执行此Magecart攻击的工具包。经过进一步分析，确定这次攻击可能与一个名为Magecart 9；的威胁行为人组织有关。

这一群体过去曾与其他聪明的技术联系在一起，比如使用网络插口来逃避检测。