Onlineshop: Web-Skimmer verstecken Schadsoftware in Icon

Kunden- und Kreditkartendaten eines Woocommerce-Onlineshops wurden über Bilder ausgelesen.

Artikel veröffentlicht am ,
Hacker leiten Kreditkartendaten per Icon aus.
Hacker leiten Kreditkartendaten per Icon aus. (Bild: Michal Jarmoluk/Pixabay)

Immer wieder werden Onlineshops von Kriminellen gehackt, um an die Zahlungsdaten der Kunden zu gelangen (Web-Skimming). Den hierfür mitgeladenen Schadcode versuchen Kriminelle teils trickreich zu verbergen. Einen solchen entdeckte die Sicherheitsfirma Malwarebytes kürzlich: Die Angreifer versteckten ihren Schadcode in den Metadaten eines Webseitenicons.

Der betroffene Shop setzte auf das weitverbreitete Woocommerce-Plugin für Wordpress. Dort platzierten die Kriminellen Code in einer legitimen Javascript-Bibliothek des betroffenen Onlineshops. Wie die Angreifer den Onlineshop initial gehackt haben, verrät Malwarebytes nicht. Der hinterlegte Code lädt ein Webseiten-Icon von der URL cddn[.]site/favicon.ico, das dem Webseitenicon des angegriffenen Onlineshops entspricht. In dessen Metadaten haben die Angreifer jedoch ihren Javascript-Schadcode versteckt. Dieser wird aus dem Copyright-Feld in den Metadaten des Bildes (Exchangeable Image File Format (EXIF)) extrahiert und liest die Namen, Adressen und Kreditkartendaten der Kunden bei der Eingabe aus den entsprechenden Formularen aus und schickt sie an die Kriminellen.

Auch beim Exfiltrieren setzen die Angreifer auf eine Bilddatei: Die Daten werden per Base64 encodiert und als Bild an den Server der Angreifer gesendet. An sich ist das Verstecken von Schadsoftware in Bilddateien mit der sogenannten Steganografie nichts Neues, von Web-Skimmern wurde sie laut Malwarebytes jedoch bis dato noch nicht eingesetzt. Hinter den Angreifern vermutet Malwarebytes die Gruppe Magecart 9.

  • Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)
Der Schadcode ist in den Metadaten des Icons versteckt. (Bild: Malwarebytes)

Unter dem Sammelbegriff Magecart werden Kriminelle gefasst, die auf unterschiedlichen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen. Sie sollen etwa für das Leck im Buchungssystem von British Airways verantwortlich gewesen sein, bei dem die Daten von Hunderttausenden Kunden abgegriffen wurden. British Airways soll wegen mangelnder Sicherheitsvorkehrungen deshalb 200 Millionen Euro Strafe zahlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Internet Archive
Bank benutzte Wayback Machine als CDN
artikel-bild
Bitwarden und KeepassXC
Wohin mit all den Passwörtern?
artikel-bild
Datenleck
Airbnb gibt Gastgebern Zugriff auf fremde Postfächer
Meistgelesen
artikel-bild
Projekt Dauerpower
Forscher entwickeln Wechselrichter mit 720 kW Dauerleistung
artikel-bild
Nach Cyberangriff
Südwestfalen IT bittet Kommunen um Geld
artikel-bild
Macbooks
Apple hält 8 GByte RAM weiterhin für ausreichend
Kommentarübersicht
Re: Das by Design kranke ist
Handle 26. Jun 2020

Die Angreifer haben - sofern ich es richtig verstanden habe - eine JavaScript-Bibliothek...

Re: HÄ!?
fichti 26. Jun 2020

Top! Danke für die Klarstellung.

2FA?
Frostwind 26. Jun 2020

Warum generiert die Karte nicht pro Transaktion eine TAN? Sind Kreditkarten von der...

wer ist da Schuld ?
phade 26. Jun 2020

Verstehe ich was nicht richtig oder führt Woocommerce den Text-Bereich eines EXIF-Headers...

Aktuell auf der Startseite von Golem.de
US-Airforce
KI-Dogfights gegen menschliche Piloten getestet

Die US-Luftwaffe hat erfolgreich einen Nahkampf zwischen dem X-62A-Testflugzeug mit KI-Steuerung und einem bemannten F-16-Kampfflugzeug durchgeführt.

US-Airforce: KI-Dogfights gegen menschliche Piloten getestet
Artikel
  1. Zeichentrickserie Ark: Coole Sci-Fi mit starken Stimmen
    Zeichentrickserie Ark
    Coole Sci-Fi mit starken Stimmen

    David Tennant als Schurke, Karl Urban als Beach Bob. Sie und viele weitere Stars leihen den Figuren in der coolen Science-Fiction-Zeichentrickserie Ark ihre Stimme.
    Eine Rezension von Peter Osteried

  2. Altstore für iPhones ausprobiert: So wenig Spaß macht die Installation alternativer Appstores
    Altstore für iPhones ausprobiert
    So wenig Spaß macht die Installation alternativer Appstores

    Dank DMA lassen sich in Europa endlich alternative App-Marktplätze auf iPhones installieren. Golem.de hat das mit dem Altstore ausprobiert - mit reichlich Frust.
    Ein Erfahrungsbericht von Tobias Költzsch und Daniel Ziegener

  3. Rennspiel: EA Sports verspricht besseres Fahrgefühl in F1 24
    Rennspiel
    EA Sports verspricht besseres Fahrgefühl in F1 24

    Ein überarbeiteter Karrieremodus plus verbessertes Handling: EA Sports hat die wichtigsten Neuerungen im Rennspiel F1 24 vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Spring Sale bei Gamesplanet • Neuer MediaMarkt-Flyer • MindStar: AMD Ryzen 7 7800X3D 339€ • Bose Soundbar günstig wie nie • Samsung Galaxy S23 -37% • MSI OLED Curved 34" UWQHD 175Hz -500€ • Alternate: Deep Cool CH560 Digital Tower-Gehäuse 99,90€ • PS5-Spiele -75% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /