Los piratas informáticos utilizan nuevas técnicas de evasión para robar datos de tarjetas de crédito ocultando malware debajo de las imágenes.

El avance de las tecnologías ha dado lugar a nuevas formas de piratería. Un enfoque reciente de un grupo de piratas informáticos llamado esteganografía, en el que los atacantes ocultan código malicioso debajo de imágenes legítimas y lo implementan en sitios de comercio electrónico para robar información confidencial de tarjetas de crédito.

Investigadores en Malwarebytes rompió esa metodología al verificar una imagen que estaba infectada con código de robo. El grupo que es más competente en esta técnica es Magecart, donde infecta la mayoría de los sitios de comercio electrónico desconocidos y roba datos. La esteganografía es el proceso de hacer esto. Los piratas informáticos ocultan / modifican el código JavaScript de fondo en la imagen para extraer los datos necesarios.

¿Por qué debajo de las fotos?

Los piratas informáticos utilizan nuevas técnicas de evasión para robar datos de tarjetas de crédito
Imagen a través de PixaBay

Cualquier rastreador o escáner, como un software antivirus, analiza los archivos como código HTML y JavaScript e ignora el archivo de imagen, ya que su estudio lleva más tiempo. Por lo tanto, los convierte en una opción viable para ocultar código malicioso. Si bien esta es la forma más segura de realizar sus actividades ilegales, siempre hay una manera de averiguar cómo.

¿Como encontrar?

El análisis de la imagen con formato incorrecto en el editor hexadecimal muestra que se agregan algunos datos adicionales después del segmento final. Cadenas como onestepcheckout o Authorizenet confirme que estos códigos son malintencionados y están destinados a ser desnatados. El resultado de Malwarebytes es que la mayoría de los sitios pirateados se han infectado con imágenes esteganográficas, implementando el código en cualquier zócalo etiquetas o Administrador de etiquetas de Google.

Además, los atacantes que usan WebSocket para comunicarse con el servidor del hacker los hacen aún más indetectables. Una vez que se carga la página, el código JavaScript infectado se activa y se convierte en un exfiltrador de datos confidenciales de la tarjeta y lo transfiere al pirata informático para su posterior explotación.