کارت اعتباری کفگیر در حال حاضر دفن شده در تصویر فایل ابرداده در وب سایت های تجارت الکترونیکی

Cybercriminals به استفاده از کارت اعتباری آنلاین کفگیر همچنان به بهبود روش حمله خود را و این بار کد های مخرب یافت شده است دفن شده در تصویر ابرداده فایل لود شده توسط وب سایت های تجارت الکترونیکی.

با توجه به ژروم سگورا, Malwarebytes مدیر تهدید هوش, روش جدید یک راه برای "مخفی کردن کارت اعتباری کفگیر به منظور فرار از تشخیص."

بیش از چند سال گذشته با افزایش تدریجی محبوبیت در خرید آنلاین -- در حال حاضر بیشتر از همیشه با توجه به این رمان coronavirus بیماری همه گیر -- افزایش داده است به حملات سایبری را به خود اختصاص مخفیانه سرقت از کارت های پرداخت اطلاعات استفاده می شود هنگامی که خرید آنلاین.

پس از مارک های شناخته شده بودند آمار در جانشینی سریع از جمله Ticketmaster و بریتیش ایرویز اصطلاح " Magecart ابداع شد برای این نوع حملات که در آن جاوا اسکریپت مخرب است که تزریق به درگاه پرداخت صفحه آسیب پذیر وب سایت به منظور برداشت اطلاعات مشتری را برای تا زمانی که ممکن است بدون تشخیص.

بی شماری e-commerce حوزه را تبدیل به قربانیان به Magecart که پرکار cybercriminal باندهای شناخته شده است به تخصص در کارت دستکاری شده اند تقسیم کردن و به نام جداگانه Magecart گروه برای اهداف ردیابی.

همچنین نگاه کنید به: دستکاری کد نبرد در NutriBullet سایت ممکن است در معرض خطر مشتری اطلاعات کارت اعتباری

این امنیت سایبر شرکت کاوش های جدید, تکنیک های شرح داده شده در یک پست وبلاگ منتشر شده در پنج شنبه است که اعتقاد بر این صنعت دست از Magecart گروه 9.

در اصل زمانی که Malwarebytes تصادفا در سراسر مشکوک به دنبال فایل تصویر این تیم فکر کردم آن ممکن است مربوط به یک تکنیک است که با استفاده از favicons برای پنهان کردن کفگیر همانطور که قبلا گزارش شده توسط ZDNet. روش مورد استفاده در مستند حملات در خدمت مشروع favicons به بخش عمده ای از یک وب سایت -- اما موجب صرفه جویی مخرب انواع درگاه پرداخت صفحه.

با این حال به نظر می رسد Magecart گروه 9 رفته بیشتر است. کارت کفگیر کد داشت به خاک سپرده شد در فراداده EXIF از یک فایل تصویری که پس از آن خواهد بود لود شده توسط مصالحه فروشگاه های آنلاین.

Malwarebytes می گوید مخرب شناسایی تصویر لود شد با یک فروشگاه با استفاده از یک پلاگین وردپرس تجارت الکترونیک.

حمله یک تنوع است که با استفاده از favicons اما با یک پیچ و تاب. کد مخرب بود دنبال بازگشت به یک مخرب دامنه cddn[.]سایت که لود شده از طریق یک آیکون فایل. در حالی که کد خود را به نظر نمی رسد مخرب در نگاه اول یک فیلد به نام "کپی رایت" در زمینه ابرداده لود کارت کفگیر با استفاده از < img > هدر, برچسب, به طور خاص از طریق HTML رویداد onerror که باعث اگر خطا رخ می دهد در هنگام بارگذاری خارجی و منابع.

CNET: توییتر چالش میلیون ها حساب هر هفته برای تعیین اگر آنها رباتها یا نه

زمانی که لود شده بر روی یک خطر بیافتد وب سایت, جاوا اسکریپت منازعه ورودی از زمینه های مورد استفاده برای ارسال اطلاعات پرداخت از جمله نام و آدرس صورتحساب و جزئیات کارت.

این Magecart گروه مبهم کد درون داده های EXIF و غیر منتظره ای را به سادگی ارسال سرقت اطلاعات از طریق متن به یک فرمان و کنترل سرور (C2). به جای داده های جمع آوری شده نیز فرستاده شده به عنوان فایل های تصویری از طریق ارسال درخواست.

"تهدید بازیگران احتمالا تصمیم به استیک با تصویر تم به هم پنهان exfiltrated اطلاعات از طریق آیکون.فایل ico" محققان می گویند.

TechRepublic: حملات فیشینگ هدف کارگران بازگشت به کار

این فکر که Magecart گروه 9 مقصر است با توجه به لینک های ساخته شده توسط محقق امنیتی @AffableKraut به دامنه و ثبت و همچنین میزبانی اسکریپت با استفاده از EXIF روش.

این اولین بار نیست که وردپرس تجارت الکترونیک پلاگین های متصل شده به مسائل امنیتی بیش از سال 2020 است. چند ماه پیش یک باگ کشف شد انعطاف پذیر, پرداخت, زمینه برای WooCommerce پلاگین که اجازه حمله به استفاده از XSS بر روی کامپیوتر کاربر ایجاد حساب مدیر در حوزه های آسیب پذیر.

قبلی و مرتبط با پوشش

یک نکته? در تماس ایمن از طریق واتساپ | سیگنال در +447713 025 499 یا بیش در Keybase: charlie0