Škodlivý kód ukrytý v EXIF datech obrázku favicon

26. 6. 2020

10 nových názorů

Hacker karta počítač

Častý útok na internetové obchody bývá označován jako Magecart. Útočník musí prolomit webovou stránku obchodu, kde umístí většinou škodlivý JS. Ten při placení posílá údaje o kreditní kartě také útočníkovi. V minulosti takto byli okradeni například zákazníci Smith & Wesson a British Airways.

Novou variantu Magecart útoku se podařilo objevit společnosti Malwarebytes. Napadený byl obchod prodávající zásuvný modul WooCommerce pro WordPress. Zajímavé je, že škodlivý kód byl ukryt v EXIF datech ikonky favicon.ico, tedy toho obrázku, co se objevuje před adresou v prohlížeči.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

26. 6. 2020 21:19

jvic

Jestli jsem to dobře pochopil, tak favicon byla ve zmiňivaném případě zpracovávána javascriptem. Tzn. "bug" je v té JS části, protože neočekává, že by při čtení a renderování metadat o favicon souboru mohla přijít na nějaká nepravost....
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 15:28

Vít Šesták

Spíše jsem to rychle projel, ale IMHO je to jinak:

V první řadě útočník napadl server a upravil kód, který tu běží. To je ten zásadní problém.

Druhá věc je, jak obfuskoval svoji aktivitu. Udělal JS, který stahuje favicon z jiného serveru, a z něj extrahuje data, která hodí do eval. Toto není chyba, ale záměr útočníka. Bude tak těžší najít ten skript. Místo metadat ve favicon se klidně dál stáhnout přímo skript (nápadnější), txt (stále nápadné), použít least significant bits v obrázku (o něco pracnější). Nebo by sloy použít třeba i zvuk. Nebo slova liché/sudé délky v nějakém textu. Nebo... Možností je spousta...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2020 23:12

Vít Šesták

Pokud jsem to dobře pochopil, favicon tu slouží spíše pro ohfuskaci, samo o sobě to zneužít neumějí...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 9:23

Martin X (neregistrovaný)

Okradnúť zákazníka Smith&Wesson nie je veľmi dobrý nápad :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 11:25

Ondra Satai Nekola
Zlatý podporovatel

Proč? V průměru nejspíš lepší kafka než zákazník knihkupectví...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 11:35

Martin X (neregistrovaný)

Nemyslím si, že priemerný zákazník kníhkupectva, hlavne ten, čo kupuje primárne beletriu, bol schopný lepšie odhaliť škodlivý skript v EXIF faviconu. Ja by som "rednecks" nepodceňoval.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 19:47

Peter Fodrek
Zlatý podporovatel

Ako keby ste nevedeli, čo kupujú zákazníci

Smith & Wesson
https://www.smith-wesson.com
Since 1852 we've been an industry leading manufacturer of pistols, revolvers, rifles, and shooting accessories

A teda ich pomsta bude životu nebezpečná
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2020 6:44

Ondra Satai Nekola
Zlatý podporovatel

Tady asi někdo neví, že kvér neumí střelit po TCP/IP.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2020 10:31

Martin X (neregistrovaný)

Na to by som sa dnes už nespoliehal :-)
https://io9.gizmodo.com/internet-controlled-shotguns-are-the-high-tech-extreme-5734863
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 11:05

Trident

Uz vidim ze v pondeli prijde od security odstranit vsechny favicon nebo vsechna exif data z favicons. A ja budu zas uklidnovat podrizeny. Zatracena prace.

Zasílat nově přidané názory e-mailem