Аналитики компании Sanguine Security обнаружили, что злоумышленники используют стеганографию и прячут MageCart-скиммеры в кнопках, предназначенных для публикации контента в социальных сетях.
Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак.
Под стеганографией подразумевают сокрытие информации внутри другого формата (например, текста внутри изображений, изображений внутри видео и так далее). В последние годы наиболее распространенной формой стеганографических атак было скрытие вредоносных пейлоадов внутри файлов изображений, обычно в форматах PNG или JPG. Операторы веб-скиммеров тоже не остались в стороне от этого тренда и прятали свой вредоносный код в логотипах сайтов, изображениях товаров или в favicon зараженных ресурсов.
Теперь специалисты Sanguine Security пишут, что в новых атаках для сокрытия вредоносного кода используются не файлы PNG или JPG, а файлы SVG. Скорее всего, это обусловлено тем, что в последнее время защитные решения стали лучше обнаруживать скиммеры в обычных картинках.
Теоретически, обнаружить в векторных изображениях вредоносный код должно быть проще. Однако исследователи пишут, что злоумышленники умны и проектировали свой пейлоад с учетом этих нюансов.
«Вредоносная полезная нагрузка принимает форму элемента HTML <svg> с использованием элемента <path> в качестве контейнера для пейлоада. Сама полезная нагрузка скрыта с использованием синтаксиса, который напоминает правильное использование элемента <svg>», — гласит отчет экспертов.
По данным экспертов, хакеры тестировали эту технику еще в июне, и на действующих сайтах электронной коммерции она была обнаружена в сентябре, причем вредоносные пейлоады были скрыты внутри кнопок, предназначенных для публикации контента в социальных сетях (Google, Facebook, Twitter, Instagram, YouTube и Pinterest).
В зараженных магазинах, как только пользователи переходили на страницу оформления заказа, вторичный компонент (называемый декодером) считывал вредоносный код, скрытый внутри значков социальных сетей, а затем загружал кейлоггер, который фиксировал и похищал информацию о банковских картах из формы оплаты заказа.
