Опять о “сниферах”: новые технологиии кражи твоих данных
Продолжая тему js-сниферов, напоминаем о том, что недавно мы уже писали, как современные личных похитители данных из форм сливают информацию через Google Analytics в обход CSP. Ранее мы также сообщали о том, как сниферы маскируют полезную нагрузку под значки сайта.
Но на этом тема не закрыта.
Теперь продвинутые кибераферисты скрывают вредоносны в метаданных изображений использую стеганографию (о которой мы, кстати, тоже недавно писали), похищая информацию о твоих платежных картах, введенную тобой на взломанных ими сайтах.
Как это работтает?
Обычные атаки работают путем добавления вредоносного кода в скомпрометированный сайт, который тайно собирает и отправляет введенные пользователем данные на сервер киберпреступника сливая платежную информацию покупателей.
На этой неделе Malwarebytes обнаружила, что снифер был обнаружен не только в онлайн-магазине с плагином WooCommerce WordPress, но и содержался в метаданных EXIF (Exchangeable Image File Format) для подозрительного домена (cddn.site). ) в изображении favicon. Хотим отметить, что подобные атаки с использованием favico не новы. Новшеством в этом случае является применение стеганографии для сокрытия вредоносного кода.
Помимо кодирования перехваченной информации с использованием формата Base64, украденные данные передаются в виде файла изображения, чтобы скрыть процесс эксфильтрации.
Но для для кражи чужих данных примеенение вредоносного кода вовсе не обязательно.
В другом методе, показанном экспертом по ИБ Джесси Ли, объясняется как можно украсть данные из браузера, используя метод dns-prefetch.
ПО с открытым исходным кодом под названием browsertunnel, состоящее из сервера, декодирующего сообщения, и клиентской библиотеки JavaScript для кодирования и передачи сообщений закодированных в названия поддоменов разрешаемых браузером и передаваемых серверу. Затем “тулза” прослушивает DNS-запросы, собирает входящие сообщения и декодирует их, чтобы извлечь соответствующие данные.
Голь на выдумки хитра и мы уверенны, что в ближайшее время мы увидим новые хитрые способы кражи персонлальных данных.
Оставайтесь с нами и мы обязательно поведаем об этом.