Säkerhetsforskare på Malwarebytes har upptäckt en ny metod för att gömma skadlig javascript-kod på en webbsida. Metoden kombinerar en välkänd metod för att gömma skadlig kod i EXIF-informationen i bilder med Magecart – en attack där angripare planterar in javascript i formulär på en webbsida för att stjäla bland annat kreditkortsinformation, skriver Bleeping Computer.

Magecart har använts i flera spektakulära hack, bland annat mot flygbolaget British Airways och varuhuset Macy's. Hacken går ut på att placera javascript i de utcheckningsformulär i webbutiker där kunderna fyller i leveransinformation och kreditkortsnummer. Cyberkriminella kan på detta sätt komma över information om företagets kunder som sedan kan användas för utpressning eller för att säljas på svarta marknaden.

Inte heller tekniken att gömma skadlig kod i bilder är särskilt ny. Det finns välkända metoder för att gömma exekverbar kod i bildfilernas EXIF-fält i filhuvudet. Men Malwarebytes har nu upptäckt ett fall där kriminella hackare placerat Magecart javascript i EXIF-fältet i en webbsajts favicon-bild – den lilla ikonen som syns i webbläsarnas flikar. Malwarebytes nämner inte företaget vid namn, men det gäller en webbutik som använder WooCommerce – en populär insticksmodul till Wordpress för webbshoppar.

Metoden kräver att förövarna kan hacka sajten och lägga in den preparerade favicon-bilden, men väl där ser ikonen harmlös ut och den skadliga koden är svår att upptäcka eftersom koden inte ligger på sajten i sig.

Läs också:
Panghack skjuter ned Smith & Wesson – rånades på betalningsinformation
Gigantisk it-attack mot varuhus – känslig information på drift