【極度迂迴】一個網頁icon 助黑客盜取網購信用卡資料
網絡安全真係一場智力大比併,無論安全專家點樣提升防禦力,黑客都總會搵到漏洞發動攻擊,然後安全專家又會極速修補應戰,攻防無限 loop。而近期網絡安全機構 Malwarebytes Labs 發現嘅 Web Skimmer 盜取信用卡資料方式,攻擊路線極度迂迴同複雜,唔單只利用網頁標籤圖案,仲要將惡意程式碼收埋喺圖像嘅 EXIF metadata 入面,真係睇少一眼都出事!
Malwarebytes 嘅專家發現,今次被埋入 Web Skimmer 嘅網站,原來只係被換咗 favicon 㗎咋,完全無其他地方被做手腳。Favicon 可能唔係人人識,其實佢就係網頁標籤或書籤上嘅圖案。專家話黑客首先開設咗一個專門俾人寄存 Favicon 圖案嘅網站 Mylcons. net,然後就去到存在安全漏洞嘅網站,將 Favicon 置換成放置喺 Mylcons 內嘅圖案,專家話 Mylcons 唔會將所有網站嘅 Favicon 都換成有惡意程式嘅圖案,而只會喺偵測到網站有購物頁面時,先會出手。
為咗保持低調,圖案內藏嘅 Javascript 惡意程式碼仲收埋得好隱蔽。首先黑客將佢轉成混浠碼(obfuscated code),當放喺圖案 EXFI metadata 內嘅 Copyright 位置,當網站本身無 onerror 漏洞防護,黑客就可以利用讀取外部資源出錯,去觸發惡意程式碼被執行,盜取網民喺網站購物頁面輸入嘅資料,再用 Base64 加密及收藏喺圖像內,以 Post 指令送到黑客嘅 C&C 伺服器,成功實現非一般嘅信用卡竊取攻擊。
而今次事件嘅主謀,就被指係近四年非常活躍嘅 Magecart Group,專家話搞到咁迂迴,全因黑客希望可以減少被發現嘅機會,延長呢種攻擊嘅壽命。雖然 Malwarebytes 專家而家已經封鎖咗寄存呢啲惡意攻擊嘅位址,但難保黑客唔會再開新嘅網站,所以勸籲網站管理員要保持警覺,唔好貪方便立亂用 plug-in,例如今次被攻擊網站嘅出事位,就係因為佢用咗有問題嘅 WordPress plug-in WooCommerce 之嘛。
相關文章:【網購極危】超過200萬個網站 發現Magecart偷信用卡程式
