I malware writer, si sa, sono continuamente alla ricerca di nuovi strumenti e metodologie per sottrarre il loro codice malevolo alle verifiche poste in essere dalle principali soluzioni per la sicurezza informatica.
Malwarebytes ha appena scoperto l’utilizzo di immagini favicon malevoli all’interno di siti di ecommerce precedentemente violati da parte di aggressori.
La favicon (abbreviazione di favorite icon) è una piccola immagine usata come simbolo del sito web in corso di visita (spesso è una versione ridotta del logo). Tale immagine viene mostrata da parte dei browser web a sinistra dell’URL, nella barra degli indirizzi.
L’espediente utilizzato dai criminali informatici è chiaro: una volta attaccato un sito per il commercio elettrico (ad esempio sfruttando falle del CMS lasciato sprovvisto degli ultimi aggiornamenti di sicurezza o configurazioni insicure lato server), il favicon viene modificato con una versione che, solo all’apparenza, mostra sempre l’immagine originale ma che di fatto provoca anche il caricamento di codice JavaScript studiato per sottrarre e trasferire a terzi i dati delle carte di credito usate dagli utenti per fare acquisti sulla piattaforma online.
Come spiegano gli esperti di Malwarebytes, il codice JavaScript viene inserito (in forma offuscata) all’interno del campo Copyright come metadato dell’immagine favicon.
Dal momento che il browser legge e gestisce anche il codice JavaScript contenuto nei metadati della favicon, gli aggressori informatici hanno così potuto realizzare una versione “dematerializzata” dei tradizionali skimmer per le carte di credito che hanno in passato rappresentato e che talvolta possono costituire ancor oggi un problema nel caso degli sportelli ATM dei vari istituti di credito.
Malwarebytes ha nel frattempo aggiornato le sue soluzioni software per riconoscere e neutralizzare la modalità di attacco in questione facendo presente che al momento i siti di ecommerce più bersagliati sono quelli basati su WooCommerce per WordPress.