29.06.2020

Опять о “сниферах”: новые технологиии кражи твоих данных

Продолжая тему js-сниферов, напоминаем о том, что недавно мы уже писали, как современные личных похитители данных из форм сливают информацию через Google Analytics в обход CSP. Ранее мы также сообщали о том, как сниферы маскируют полезную нагрузку под значки сайта.

Но на этом тема не закрыта.

Теперь продвинутые кибераферисты скрывают вредоносны в метаданных изображений использую стеганографию (о которой мы, кстати, тоже недавно писали), похищая информацию о твоих платежных картах, введенную тобой на взломанных ими сайтах.

Как это работтает?

Обычные атаки работают путем добавления вредоносного кода в скомпрометированный сайт, который тайно собирает и отправляет введенные пользователем данные на сервер киберпреступника сливая платежную информацию покупателей.

На этой неделе Malwarebytes обнаружила, что снифер был обнаружен не только в онлайн-магазине с плагином WooCommerce WordPress, но и содержался в метаданных EXIF (Exchangeable Image File Format) для подозрительного домена (cddn.site). ) в изображении favicon. Хотим отметить, что подобные атаки с использованием favico не новы. Новшеством в этом случае является применение стеганографии для сокрытия вредоносного кода.

Помимо кодирования перехваченной информации с использованием формата Base64, украденные данные передаются в виде файла изображения, чтобы скрыть процесс эксфильтрации.

Но для для кражи чужих данных примеенение вредоносного кода вовсе не обязательно.

В другом методе, показанном экспертом по ИБ Джесси Ли, объясняется как можно украсть данные из браузера, используя метод dns-prefetch.

ПО с открытым исходным кодом под названием browsertunnel, состоящее из сервера, декодирующего сообщения, и клиентской библиотеки JavaScript для кодирования и передачи сообщений закодированных в названия поддоменов разрешаемых браузером и передаваемых серверу. Затем “тулза” прослушивает DNS-запросы, собирает входящие сообщения и декодирует их, чтобы извлечь соответствующие данные.