• IT-Karriere:
  • Services:

Onlineshop: Web-Skimmer verstecken Schadsoftware in Icon

Kunden- und Kreditkartendaten eines Woocommerce-Onlineshops wurden über Bilder ausgelesen.

Artikel veröffentlicht am ,
Hacker leiten Kreditkartendaten per Icon aus.
Hacker leiten Kreditkartendaten per Icon aus. (Bild: Michal Jarmoluk/Pixabay)

Immer wieder werden Onlineshops von Kriminellen gehackt, um an die Zahlungsdaten der Kunden zu gelangen (Web-Skimming). Den hierfür mitgeladenen Schadcode versuchen Kriminelle teils trickreich zu verbergen. Einen solchen entdeckte die Sicherheitsfirma Malwarebytes kürzlich: Die Angreifer versteckten ihren Schadcode in den Metadaten eines Webseitenicons.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
  2. TenneT TSO GmbH, Bayreuth, Lehrte, Arnheim (Niederlande)

Der betroffene Shop setzte auf das weitverbreitete Woocommerce-Plugin für Wordpress. Dort platzierten die Kriminellen Code in einer legitimen Javascript-Bibliothek des betroffenen Onlineshops. Wie die Angreifer den Onlineshop initial gehackt haben, verrät Malwarebytes nicht. Der hinterlegte Code lädt ein Webseiten-Icon von der URL cddn[.]site/favicon.ico, das dem Webseitenicon des angegriffenen Onlineshops entspricht. In dessen Metadaten haben die Angreifer jedoch ihren Javascript-Schadcode versteckt. Dieser wird aus dem Copyright-Feld in den Metadaten des Bildes (Exchangeable Image File Format (EXIF)) extrahiert und liest die Namen, Adressen und Kreditkartendaten der Kunden bei der Eingabe aus den entsprechenden Formularen aus und schickt sie an die Kriminellen.

Auch beim Exfiltrieren setzen die Angreifer auf eine Bilddatei: Die Daten werden per Base64 encodiert und als Bild an den Server der Angreifer gesendet. An sich ist das Verstecken von Schadsoftware in Bilddateien mit der sogenannten Steganografie nichts Neues, von Web-Skimmern wurde sie laut Malwarebytes jedoch bis dato noch nicht eingesetzt. Hinter den Angreifern vermutet Malwarebytes die Gruppe Magecart 9.

  • Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)
Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)

Unter dem Sammelbegriff Magecart werden Kriminelle gefasst, die auf unterschiedlichen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen. Sie sollen etwa für das Leck im Buchungssystem von British Airways verantwortlich gewesen sein, bei dem die Daten von Hunderttausenden Kunden abgegriffen wurden. British Airways soll wegen mangelnder Sicherheitsvorkehrungen deshalb 200 Millionen Euro Strafe zahlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 29,99€
  2. (-75%) 2,50€
  3. 4,63€

Handle 26. Jun 2020 / Themenstart

Die Angreifer haben - sofern ich es richtig verstanden habe - eine JavaScript-Bibliothek...

fichti 26. Jun 2020 / Themenstart

Top! Danke für die Klarstellung.

Frostwind 26. Jun 2020 / Themenstart

Warum generiert die Karte nicht pro Transaktion eine TAN? Sind Kreditkarten von der...

phade 26. Jun 2020 / Themenstart

Verstehe ich was nicht richtig oder führt Woocommerce den Text-Bereich eines EXIF-Headers...

M.P. 26. Jun 2020 / Themenstart

Das beim Rechtsklick auf "Grafik Anzeigen" durch den Browser mehr getan wird, als die...

Kommentieren


Folgen Sie uns
       


Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
Coronavirus und Karaoke: Gesang mit Klang trotz Gesichtsvorhang
Coronavirus und Karaoke
Gesang mit Klang trotz Gesichtsvorhang

Karaokebars sind gefährliche Coronavirus-Infektionsherde. Damit den Menschen in Japan nicht ihr Hobby genommen wird, gibt es nun ein System, das auch mit Mundschutz gute Sounds produzieren soll.
Ein Bericht von Felix Lill

  1. Corona Gewerkschaft sieht Schulen schlecht digital ausgestattet
  2. Corona Telekom und SAP sollen europaweite Warn-Plattform bauen
  3. Universal Kinofilme kommen früher ins Netz

Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
  2. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab
  3. Change-Management Wie man Mitarbeiter mitnimmt

Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

    •  /