Los nuevos piratas informáticos de Magecart ocultan su script malicioso en los metadatos de las imágenes

Los skimmers de tarjetas están atacando activamente varios sitios de comercio electrónico, ya que muchos confían en ellos ahora más que nunca. En una nueva técnica descubierta por el equipo de Malwarebytes, un grupo de atacantes Magecart están ocultando su código malicioso de robo de datos detrás de los metadatos de un archivo de imagen. Y también exfiltrar los datos robados a través de un archivo de imagen.

Una nueva técnica de desnatado de cartas

Junto con los investigadores de seguridad, los piratas informáticos también han evolucionado con nuevas técnicas para evadir la detección. En el campo del skimming de tarjetas de crédito, los hackers de Magecart están atacando los sitios de comercio electrónico con al menos o ninguna barrera de seguridad. El grupo ha infectado y robado con éxito compañías conocidas como British Airways y Ticketmaster, y ahora hay otra variante con un nuevo estilo de ataque.

Los nuevos piratas informáticos de Magecart ocultan su script malicioso en los metadatos de las imágenes

nombrado como Magecard Grupo 9, esta variante de atacantes se considera inteligente para ocultar su código JavaScript malicioso en una imagen en un sitio web de comercio electrónico, que será cargada por el propio sitio web. Mientras que la Equipo de Malwarebytes según se informa, se encontró una imagen de aspecto sospechoso para alojar el script malicioso en sus metadatos EXIF.

Una tienda en línea con un complemento de comercio electrónico de WordPress activaría el código. Al analizar el código, se rastreó hasta un dominio llamado cddn[.]sitio web, que se carga a través de un archivo favicon. Aunque el código inicialmente se veía bien, los investigadores se encontraron con el «campo llamado «Copyright» en el campo de metadatos cargó el skimmer de tarjetas usando una etiqueta de encabezado , específicamente a través de un evento HTML onerror, que se activa si ocurre un error al cargar un recurso externo«Según lo explicado por ZDNet.

Al cargar este código malicioso en el sitio web de comercio electrónico, capturará datos confidenciales como los detalles de la tarjeta, la dirección de facturación y los nombres que se ingresan en la página de pago. Los piratas informáticos aquí son muy inteligentes para ofuscar el código e incluso exfiltrar los datos robados también en un archivo de imagen, a través de solicitudes POST.