黑客攻击的网络商店隐藏在图像元数据

Malwarebytes透露，一群网络罪犯成功地将他们的网络浏览器隐藏在一张图片的EXIF元数据中，然后被感染的在线商店偷偷地加载。
这些脚本的目的是识别和窃取毫无防备的用户在受到攻击的电子商务网站上输入的信用卡数据和其他敏感信息，并将收集到的数据发送给竞选运营商。
Malwarebytes的安全研究人员说，最近发现的这次攻击之所以引人注目，不仅是因为它使用图像来隐藏抓取器，还因为它使用图像来窃取被盗的信用卡数据。
据Malwarebytes报道，一个初始的JavaScript是从一个运行WordPress的WooCommerce插件的在线商店加载的，多余的代码被附加到一个由商家托管的合法脚本中。
该脚本将加载一个与被破坏的商店使用的徽标相同的徽标文件(他们品牌的标识)，并且从该图像的版权元数据字段加载web skimmer。
skimmer的设计目的是抓取输入栏的内容，在线购物者输入他们的名字，账单地址和信用卡详细信息，就像其他类似的代码一样。
skimmer还对收集到的数据进行编码，反转字符串，并通过POST请求将信息作为图像文件发送到外部服务器。
Malwarebytes指出:“威胁者可能决定坚持使用图像主题，同时通过favicon.ico文件隐藏被窃取的数据。”
在他们的调查中，安全研究人员在一个受攻击的网站的开放目录中发现了一个skimmer toolkit的源代码副本，这使他们有可能了解到favicon.ico文件是如何在版权字段中使用注入的脚本制作的。
Malwarebytes还能够识别出skimmer的一个早期版本，它没有在最近的迭代中出现的混淆，但是有相同的代码特性，并且相信它可能与Magecart Group 9有关。