1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlineshop: Web-Skimmer verstecken…

HÄ!?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. HÄ!?

    Autor: fichti 26.06.20 - 12:18

    Mich würde interessieren, wie der Code zum Nachladen und Evaluieren des Script Icons auf der Seite gelandet ist.
    Hatten die Angreifer Zugriff auf die Server? Wurde es in das Woocomerce Plugin eingeschleust?

    Wie sonst kommt es zu
    > Dort platzierten die Kriminellen Code in einer legitimen Javascript-Bibliothek des betroffenen Onlineshops.

    Ich mein, wenn man schon so weit ist, dass man den Code des Shops ändern kann, warum dann dieser Unsinnige weg?

  2. Doppel-HÄ!?

    Autor: Wabba 26.06.20 - 12:33

    Und was hat das mit Steganographie zu tun?
    Bei Steganographie werden die geheimen Daten im Bild selbst und nicht in dessen EXIF-Daten versteckt.

  3. Re: HÄ!?

    Autor: Wabba 26.06.20 - 12:40

    "Ich mein, wenn man schon so weit ist, dass man den Code des Shops ändern kann, warum dann dieser Unsinnige weg?"

    Ich denke, es geht darum, den Code möglichst lange zu verstecken. Eine direkte Modifikation des Scripts enthält halt verdächtige Code-Stellen wie z.B. Zugriff auf Formularfelder oder HTTP-Requests.
    Wenn das Icon dann auf einem Dritt-Server liegt, ist es für die Skimmer wahrscheinlich auch einfacher, den Angriffscode zu ändern. Und ein Icon von einem externen Server fällt wahrscheinlich auch weniger auf als ein JS-File.

  4. Re: Doppel-HÄ!?

    Autor: M.P. 26.06.20 - 12:40

    Es gibt zwei Stellen, wo Bilddateien bei diesem Modus-Operandi eingesetzt werden.

    1) Schadcode Einschleusen
    2) Erbeutete Kreditkartendaten unauffällig aus dem Shop auslesen..

    Ohne (2) keine Beute, und für (2) KÖNNTE man Steganografie in Bildern auf dem Angegriffenen Servern einsetzen, auf die man als Angreifer Zugriff hat ...

  5. Re: HÄ!?

    Autor: fichti 26.06.20 - 13:04

    Ja, aber der Code wurde ja dennoch modifiziert.
    Mindestens mit einem Mechanismus zum Laden des Icons, dem extrahieren der entsprechenden EXIF Daten und einem eval call. Ein eval call ist ja schon verdächtig.

    Ich gebe dir Recht, dass der Schadcode so relativ einfach aktualisiert werden kann. Vielleicht war es das einzige Ziel.

    Dennoch bleiben die eigentlichen Fragen für mich: Wie ist der Schadcode auf den Server gelangt? Bestand da Zugriff? Wurde dieser von einem CDN nachgeladen oder sogar als Teil von Woocommerce ausgeliefert? Usw.

  6. Re: HÄ!?

    Autor: do5rsw 26.06.20 - 13:38

    Ja die Frage hab ich mir auch gestellt. Leider schweigt sich Golem dazu aus.

    Haben die den Shopserver gehacked um das favicon zu ersetzen?
    Wurde eine gehackede Version von dem Plugin eingeschleust? Und wenn ja nur in diesen einen Server oder vielleicht in die update services des sShopsoftwaremaintainers? Zumindest in letzterem Fall wären mehr als nur dieser Shop betroffen...

    Und warum wird eigentlich in dafür nicht gedachten Exif Einträgen enthaltenes Javascript kommentarlos von den Browsern einfach ausgeführt?!

  7. Re: HÄ!?

    Autor: smonkey 26.06.20 - 14:11

    Die Primärquelle, Blogeintrag von Malewarebytes, ganz oben im Artikel verlinkt sollte diese Fragen beantworten.

  8. Re: HÄ!?

    Autor: mtr (golem.de) 26.06.20 - 14:11

    Hallo fichti und do5rsw,

    die Angreifer haben den Shop initial gehackt um Code in die legitimen JS-Biblitotheken des Shops zu hinterlegen. Mit diesem wird der Code aus dem Icon nachgeladen. Wir haben das noch mal klarer formuliert.

    Ziel des Codes beziehungsweise der Daten in den Bildern ist es, den Angriff zu verschleiern.

    Viele Grüße
    Moritz

  9. Re: HÄ!?

    Autor: fichti 26.06.20 - 14:28

    Sollte er, tut es aber leider nicht.

  10. Re: HÄ!?

    Autor: fichti 26.06.20 - 14:42

    Top! Danke für die Klarstellung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. CCV GmbH, Au i.d. Hallertau, Moers
  2. über duerenhoff GmbH, Raum Düsseldorf
  3. Allianz Deutschland AG, Stuttgart
  4. Hays AG, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kotlin, Docker, Kubernetes: Weitere Online-Workshops für ITler
Kotlin, Docker, Kubernetes
Weitere Online-Workshops für ITler

Wer sich praktisch weiterbilden will, sollte erneut einen Blick auf das Angebot der Golem Akademie werfen. Online-Workshops zu den Themen Kotlin und Docker sind hinzugekommen, Kubernetes und Python werden wiederholt.

  1. React, Data Science, Agilität Neue Workshops der Golem Akademie online
  2. In eigener Sache Golem Akademie hilft beim Einstieg in Kubernetes
  3. Golem Akademie Data Science mit Python für Entwickler und Analysten

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
    KI-Startup
    Regierung bestätigt Treffen mit Augustus Intelligence

    Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
    Ein Bericht von Friedhelm Greis

    1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
    2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
    3. KI Software erfindet Wörter und passende Definitionen dazu