Web Skimmer隐藏在EXIF元数据中,通过图像文件渗出信用卡

2020-06-30 21:06:06

他们说一张照片胜过千言万语。威胁行为者一定记得这一点,因为他们想出了另一种方法来隐藏他们的信用卡掠夺器,以躲避侦查。

当我们第一次调查这场活动时,我们认为这可能是另一种宠爱图标的把戏,我们在之前的一篇博客中描述了这一点。然而,事实证明它是不同的,甚至更狡猾。

我们发现浏览代码隐藏在图像文件的元数据中(一种形式的隐写术),并被泄露的在线商店秘密加载。如果没有另一个有趣的变化来窃取被盗的信用卡数据,这个计划就不会完整。犯罪分子再一次利用图像文件的伪装来收集他们的战利品。

在这项研究中,我们偶然发现了这个掠夺器的源代码,它证实了我们通过客户端JavaScript看到的内容。我们还根据各种数据点确定了与其他脚本的连接。

我们检测到的恶意代码是从运行WordPress的WooCommerce插件的在线商店加载的。WooCommerce越来越多地成为犯罪分子的目标,这是有充分理由的,因为它拥有很大的市场份额。

Malwarebytes已经阻止了一个名为cddn[.]的恶意域名,该域名是在访问该商家的网站时触发的。仔细检查后,我们发现商家托管的合法脚本中添加了无关代码。

违规代码从cddn[.]site/folicon.ico加载了一个收藏夹图标文件,该文件与受损商店使用的收藏夹图标(其品牌的徽标)相同。这是公开观察到的浏览代码的产物,我们称之为Google循环。

然而,到目前为止,这段代码中没有任何其他内容指示任何类型的Web浏览活动。我们所拥有的只有JavaScript,它加载一个远程收藏夹图标文件,并显示出解析某些数据的能力。

这就是事情变得有趣的地方。我们可以看到一个名为“版权”的字段,从该字段加载数据。攻击者正在使用此图像的版权元数据字段加载他们的Web掠夺器。使用EXIF查看器,我们现在可以看到已注入JavaScript代码:

滥用图片标题来隐藏恶意代码并不是什么新鲜事,但这是我们第一次用信用卡掠夺器目睹这种情况。

评估的出现是代码将被执行的标志。我们还可以看到恶意软件作者对其进行了混淆。可以在此处找到此脚本的归档文件。

最初的恶意JavaScript(图2)使用<;img>;标记(特别是通过onerror事件)从folicon.ico(图3)加载代码的略读部分。

与其他掠夺器一样,此工具还捕获在线购物者在其中输入姓名、账单地址和信用卡详细信息的输入域的内容。它使用base64对其进行编码,然后反转该字符串。

不过,它也带来了一些问题,因为它通过POST请求将收集的数据作为图像文件发送,如下所示:

威胁行为者可能决定坚持使用图像主题,以便也通过folicon.ico文件隐藏被泄露的数据。

我们得到了一份Skimmer工具包的源代码副本,它被压缩并暴露在一个受危害站点的开放目录中。php文件(也包含在zip中)包含Skimmer的整个逻辑,而其他文件用作支持库。

这向我们展示了如何在版权域中使用注入的JavaScript来手工创建folicon.ico文件。还有一些其他有趣的工件,比如图像的缓存HTTP头和创建日期。

Skimmer的JavaScript代码是使用WiseLoop PHP JS模糊处理器库进行模糊处理的,这与我们在客户端看到的情况是一致的。

基于开源情报,我们可以找到更多关于这种撇油器可能是如何进化的细节。在jqueryalise[.]xyz(这里是存档文件)找到了这个掠夺器的早期版本。它没有在我们最近发现的案例中发现的一些混淆,但是存在相同的核心特性,比如通过版权字段(图像文件的元数据)加载JavaScript。

我们还可以根据注册者的cddn[.]站点的电子邮件([email protected][.]com)将此威胁参与者连接到另一个略读脚本。两个域(cxizi[.]net和yzxi[.]net)共享相同的Skimmer代码,这些代码看起来要精细得多,似乎与其他两个JavaScript片段(这里是归档文件)没有太多共同之处。

在调试它时,我们可以在URL路径中发现字符串“ars”。在第一个撇油器中也看到了同样的字符串(见图),尽管这很可能只是一个巧合。

数据外泄也有很大不同。虽然内容类型再次是图像,但这一次我们看到了一个GET请求,其中窃取的数据仅使用base64编码,并作为URL参数传递。

最后,这个掠夺者可能与Magecart Group 9有联系。安全研究员@AffableKraut指出,使用这种EXIF元数据掠夺技术的域名(magentorates[.]com)具有相同的保加利亚主机、相同的注册商,并且在Magerates[.]com的一周内注册。

Magerates[.]com是在[email protected]下注册的,它也有其他的Skimmer域,特别是通过另一种巧妙的WebSockets形式的规避技术使用的几个域。这种撇油器与Magecart Group 9捆绑在一起,最初是由Yonathan Klijnsma披露的。

现在追踪数字撇油器并不是一件容易的事情,因为有很多威胁因素和无数基于工具包的或完全自定义的撇油脚本变体。

我们继续跟踪和报告撇油者,以努力保护在线购物者免受这一活动和数十个其他活动的影响。