I ricercatori di Sansec hanno scoperto una nuova tecnica per iniettare di pagamento per rubare i dati delle carte di credito nascondendosi all’interno di falsi pulsanti dei social media.
Questo nuovo malware è composto da due parti: un payload nascosto e un decoder. Quest’ultimo legge il payload ed esegue il codice nascosto. Una volta inserito nella pagina, il malware si comporta come il noto gruppo di skimmer Magecart, con il codice che viene analizzato ed eseguito dal PC dell’attore per raccogliere carte di credito e qualsiasi altro dato inserito nei campi online di un sito.
“Sebbene in passato gli skimmer abbiano aggiunto il loro payload dannoso a file benigni come le immagini, questa è la prima volta che il codice dannoso è stato costruito come un’immagine perfettamente valida. Il risultato è che gli scanner di sicurezza non sono più in grado di trovare malware solo testando la sintassi valida”, si legge nella comunicazione di Sansec.
Il payload dannoso assume la forma di un <svg>elemento html, utilizzando l’<path>elemento come contenitore per il payload. Il carico utile stesso si nasconde tramite una sintassi che ricorda molto l’uso corretto <svg>dell’elemento. Per completare l’illusione che l’immagine sia benigna, il creatore del malware l’ha denominata come una società di social media di fiducia.
Ulteriori indagini hanno rivelato che vengono utilizzati almeno sei nomi principali:
- google_full
- facebook_full
- twitter_full
- instagram_full
- youtube_full
- pinterest_full
La seconda parte del malware è un decodificatore che interpreta ed esegue il payload che, da notare, non deve essere iniettato nella stessa posizione del carico utile. Ciò si aggiunge al suo occultamento, in quanto trovando solo una delle parti, non si potrebbe dedurre il vero scopo di un svg leggermente stranamente formattato.
Un attaccante può naturalmente nascondere qualsiasi carico utile utilizzando questa tecnica. I campioni raccolti da Sansec hanno rivelato che lo skimming dei pagamenti è il reale scopo delle iniezioni di malware.