Onlineshop: Web-Skimmer verstecken Schadsoftware in Icon

Kunden- und Kreditkartendaten eines Woocommerce-Onlineshops wurden über Bilder ausgelesen.

Artikel veröffentlicht am ,
Hacker leiten Kreditkartendaten per Icon aus.
Hacker leiten Kreditkartendaten per Icon aus. (Bild: Michal Jarmoluk/Pixabay)

Immer wieder werden Onlineshops von Kriminellen gehackt, um an die Zahlungsdaten der Kunden zu gelangen (Web-Skimming). Den hierfür mitgeladenen Schadcode versuchen Kriminelle teils trickreich zu verbergen. Einen solchen entdeckte die Sicherheitsfirma Malwarebytes kürzlich: Die Angreifer versteckten ihren Schadcode in den Metadaten eines Webseitenicons.

Stellenmarkt
  1. IT-Teamlead (m/w/d)
    EWR AG, Worms
  2. Tester / Testautomatisierer (w/m/d)
    IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
Detailsuche

Der betroffene Shop setzte auf das weitverbreitete Woocommerce-Plugin für Wordpress. Dort platzierten die Kriminellen Code in einer legitimen Javascript-Bibliothek des betroffenen Onlineshops. Wie die Angreifer den Onlineshop initial gehackt haben, verrät Malwarebytes nicht. Der hinterlegte Code lädt ein Webseiten-Icon von der URL cddn[.]site/favicon.ico, das dem Webseitenicon des angegriffenen Onlineshops entspricht. In dessen Metadaten haben die Angreifer jedoch ihren Javascript-Schadcode versteckt. Dieser wird aus dem Copyright-Feld in den Metadaten des Bildes (Exchangeable Image File Format (EXIF)) extrahiert und liest die Namen, Adressen und Kreditkartendaten der Kunden bei der Eingabe aus den entsprechenden Formularen aus und schickt sie an die Kriminellen.

Auch beim Exfiltrieren setzen die Angreifer auf eine Bilddatei: Die Daten werden per Base64 encodiert und als Bild an den Server der Angreifer gesendet. An sich ist das Verstecken von Schadsoftware in Bilddateien mit der sogenannten Steganografie nichts Neues, von Web-Skimmern wurde sie laut Malwarebytes jedoch bis dato noch nicht eingesetzt. Hinter den Angreifern vermutet Malwarebytes die Gruppe Magecart 9.

  • Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)
Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)

Unter dem Sammelbegriff Magecart werden Kriminelle gefasst, die auf unterschiedlichen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen. Sie sollen etwa für das Leck im Buchungssystem von British Airways verantwortlich gewesen sein, bei dem die Daten von Hunderttausenden Kunden abgegriffen wurden. British Airways soll wegen mangelnder Sicherheitsvorkehrungen deshalb 200 Millionen Euro Strafe zahlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Handle 26. Jun 2020

Die Angreifer haben - sofern ich es richtig verstanden habe - eine JavaScript-Bibliothek...

fichti 26. Jun 2020

Top! Danke für die Klarstellung.

Frostwind 26. Jun 2020

Warum generiert die Karte nicht pro Transaktion eine TAN? Sind Kreditkarten von der...

phade 26. Jun 2020

Verstehe ich was nicht richtig oder führt Woocommerce den Text-Bereich eines EXIF-Headers...



Aktuell auf der Startseite von Golem.de
Elektro-Kombi
Opel Astra setzt auf Effizienz statt großen Akku

Mit dem Opel Astra Sports Tourer kommt der erste vollelektrische Kombi eines deutschen Herstellers auf den Markt.

Elektro-Kombi: Opel Astra setzt auf Effizienz statt großen Akku
Artikel
  1. Arma 3: Videos aus Militärsimulation werden für Fakenews missbraucht
    Arma 3
    Videos aus Militärsimulation werden für Fakenews missbraucht

    Auf Youtube tauchen teils spektakuläre Militärvideos auf, die aber Aufnahmen aus der Militärsimulation Arma 3 sind. Der Hersteller wehrt sich.

  2. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  3. Kryptografie: Warum Kaiser Karls Geheimcode fast 500 Jahre geheim blieb
    Kryptografie
    Warum Kaiser Karls Geheimcode fast 500 Jahre geheim blieb

    War Kaiser Karl V. ein kryptografisches Genie? Wir werfen einen Blick auf seinen Geheimcode und klären, warum er erst jetzt entschlüsselt wurde.
    Eine Analyse von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /