Uso de esteganografía para ocultar el código del skimmer en EXIF
En una de las campañas de piratería más innovadoras, bandas de cibercriminales ahora ocultan implantes de códigos maliciosos en los metadatos de los archivos de imagen para robar secretamente la información de la tarjeta de pago ingresada por los visitantes en los sitios web pirateados.
"Encontramos código de encubrimiento oculto dentro de los metadatos de un archivo de imagen (una forma de esteganografía) y cargado subrepticiamente por tiendas en línea comprometidas", dijeron la semana pasada investigadores de Malwarebytes.
"Este esquema no estaría completo sin otra interesante variación para extraer datos de tarjetas de crédito robadas. Una vez más, los delincuentes usaron el disfraz de un archivo de imagen para recolectar su botín".
La táctica evolutiva de la operación, ampliamente conocida como "web skimming" o ataque Magecart, se produce cuando los malos actores están encontrando diferentes formas de inyectar scripts JavaScript, incluidos los cubos de almacenamiento de datos de AWS S3 mal configurados y la política de seguridad de contenido explotado para transmitir datos a una cuenta de Google Analytics bajo su control.
Uso de esteganografía para ocultar el código del skimmer en EXIF
Aprovechando la creciente tendencia de las compras en línea, estos ataques generalmente funcionan insertando código malicioso en un sitio comprometido, que recolecta y envía subrepticiamente datos ingresados por el usuario al servidor de un ciberdelincuente, lo que les da acceso a la información de pago de los compradores.
En esta campaña de la última semana, la firma de ciberseguridad no solo se descubrió en una tienda en línea que el skimmer ejecutaba el complemento WooCommerce WordPress sino que estaba contenido en los metadatos EXIF (abreviatura de formato de archivo de imagen intercambiable) para un dominio sospechoso (cddn.site ) de la imagen del favicon.
Cada imagen viene integrada con información sobre la imagen en sí, como el fabricante y el modelo de la cámara, la fecha y la hora en que se tomó la foto, la ubicación, la resolución y la configuración de la cámara, entre otros detalles.
Utilizando estos datos EXIF, los piratas informáticos ejecutaron un fragmento de JavaScript que estaba oculto en el campo "Copyright" de la imagen favicon.
"Al igual que con otros skimmers, este también capta el contenido de los campos de entrada donde los compradores en línea ingresan su nombre, dirección de facturación y detalles de la tarjeta de crédito", dijeron los investigadores.
Además de codificar la información capturada utilizando el formato Base64 e invertir la cadena de salida, los datos robados se transmiten en forma de un archivo de imagen para ocultar el proceso de exfiltración.
Al afirmar que la operación podría ser obra del Grupo 9 de Magecart, Malwarebytes agregó que el código JavaScript para el skimmer se ofusca usando la biblioteca WiseLoop PHP JS Obfuscator.
Esta no es la primera vez que los grupos de Magecart utilizan imágenes como vectores de ataque para comprometer los sitios web de comercio electrónico. En mayo, se observó que varios sitios web pirateados cargaban un favicon malicioso en sus páginas de pago y luego reemplazaban los formularios de pago legítimos en línea con un sustituto fraudulento que robaba los datos de la tarjeta de usuario.
Abusar del protocolo DNS para filtrar datos del navegador
Pero los ataques de robo de datos no tienen que limitarse necesariamente al código de skimmer malicioso.
En una técnica separada demostrada por Jessie Li, es posible robar datos del navegador aprovechando dns-prefetch, un método de reducción de latencia utilizado para resolver las búsquedas de DNS en dominios de origen cruzado antes de solicitar recursos (por ejemplo, archivos, enlaces).
Llamado "browsertunnel", el software de código abierto consiste en un servidor que decodifica los mensajes enviados por la herramienta y una biblioteca JavaScript del lado del cliente para codificar y transmitir los mensajes.
Los mensajes en sí son cadenas arbitrarias codificadas en un subdominio del dominio superior que el navegador está resolviendo. Luego, la herramienta escucha las consultas DNS, recopila los mensajes entrantes y los decodifica para extraer los datos relevantes.
Dicho de otra manera, 'browsertunnel' puede usarse para acumular información confidencial a medida que los usuarios realizan acciones específicas en una página web y posteriormente las filtran a un servidor disfrazándola como tráfico DNS.
"El tráfico DNS no aparece en las herramientas de depuración del navegador, no está bloqueado por la Política de seguridad de contenido (CSP) de una página, y a menudo no es inspeccionado por firewalls o proxies corporativos, lo que lo convierte en un medio ideal para el contrabando de datos en escenarios restringidos", dijo.
