Подозрительный тег в заголовке изображения!

Киберпреступники регулярно пытаются различными способами скрыть свой вредоносный код - веб-скиммеры хорошо известны тем, что используют все виды запутывания и маскировки.

Подозрительный тег Img

Аналитик вредоносного ПО Лиам Смит недавно обнаружил подозрительно выглядящий тег изображения в базе данных взломанного сайта Magento.

На первый взгляд, он выглядит как тег <img>, который загружает настоящий файл изображения. Тем не менее, более глубокий анализ показывает несколько странных вещей:

Размеры изображения составляют 1x1px со стилем «display: none;».      Это в принципе невидимый пиксель.

В параметре title указан URL-адрес стороннего файла JavaScript.

Существует обработчик загрузки, который загружает и выполняет удаленный сценарий с URL-адреса, хранящегося в параметре title.

Это не похоже на обычное использование тега <img>, не так ли?

Итак, что может сделать этот удаленный скрипт?

Условная инъекция скиммера

Если вы загрузите удаленный скрипт, вы увидите реальный код слайдера и больше ничего. Однако, если тот же скрипт загружается со страницы оформления заказа, этот длинный однострочный скрипт добавляется с некоторым дополнительным кодом в самом конце.

Эта вредоносная программа сильно запутана. После нескольких раундов декодирования вы получаете  код, который получает информацию о платеже из формы оформления заказа и отправляет ее по адресу (-hxxps: //intljs.rmtag [.] Net / on /.)

Прошлые Вариации

Обнвружено, что сетевой домен -intljs.rmtag [.] Был использован еще в нескольких веб-скиммерах. Например, другой код был найден несколько месяцев назад на другом сайте электронной коммерции.

В этом случае внедрение не так сложно, как в этом примере тега <img>, но также использует довольно редкую технику-jQuery.getScript.

Плохое соседство

Домен rmtag [.] Net был создан год назад 6 января 2019 года. Хотя он был продлен еще на один год, до 2021 года, домен второго уровня был припаркован. Тем не менее, поддомен «intljs» указывает на другой IP-адрес 207.244.67.218, который принадлежит серверу с множеством ненадежных и вредоносных сайтов.

Большинство доменов с этого IP-адреса когда-то перенаправлялись на сайты мошенников через (-hxxps: //sarah.tncrun [.] Net / tr.-)

Вывод

В настоящее время некоторые из наиболее настраиваемых вредоносных программ на сайтах зараженных клиентов обнаруживаются в виде веб-скиммеров. Преступники тратят время на то, чтобы модифицировать свой внедренный код практически для каждого взломанного сайта. Настройки варьируются от случая к случаю, при этом методы запутывания увеличивают время, в течение которого скиммер остается незамеченным, и расширяют его возможности кражи кредитной карты и личной информации из скомпрометированной среды.

Эта конкретная инфекция включает в себя хитрое использование тега <img> с вредоносным заголовком и обработчиком загрузки, а также условную загрузку сценария веб-скиммера.   На других скомпрометированных сайтах электронной коммерции мы видим множество хитростей, в том числе использование поддельных доменов, претендующих на репутацию скриптов и библиотек с хорошей репутацией, и мы находим все больше и больше методов применения каждый день.

Это означает, что интернет-магазины не должны рассчитывать на определенные шаблоны программ. Вместо этого веб-сайты должны использовать инструменты контроля целостности и профессиональный мониторинг безопасности для выявления вредоносного поведения и индикаторов компрометации.