1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlineshop: Web-Skimmer verstecken…

HÄ!?

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. HÄ!?

    Autor: fichti 26.06.20 - 12:18

    Mich würde interessieren, wie der Code zum Nachladen und Evaluieren des Script Icons auf der Seite gelandet ist.
    Hatten die Angreifer Zugriff auf die Server? Wurde es in das Woocomerce Plugin eingeschleust?

    Wie sonst kommt es zu
    > Dort platzierten die Kriminellen Code in einer legitimen Javascript-Bibliothek des betroffenen Onlineshops.

    Ich mein, wenn man schon so weit ist, dass man den Code des Shops ändern kann, warum dann dieser Unsinnige weg?

  2. Doppel-HÄ!?

    Autor: Wabba 26.06.20 - 12:33

    Und was hat das mit Steganographie zu tun?
    Bei Steganographie werden die geheimen Daten im Bild selbst und nicht in dessen EXIF-Daten versteckt.

  3. Re: HÄ!?

    Autor: Wabba 26.06.20 - 12:40

    "Ich mein, wenn man schon so weit ist, dass man den Code des Shops ändern kann, warum dann dieser Unsinnige weg?"

    Ich denke, es geht darum, den Code möglichst lange zu verstecken. Eine direkte Modifikation des Scripts enthält halt verdächtige Code-Stellen wie z.B. Zugriff auf Formularfelder oder HTTP-Requests.
    Wenn das Icon dann auf einem Dritt-Server liegt, ist es für die Skimmer wahrscheinlich auch einfacher, den Angriffscode zu ändern. Und ein Icon von einem externen Server fällt wahrscheinlich auch weniger auf als ein JS-File.

  4. Re: Doppel-HÄ!?

    Autor: M.P. 26.06.20 - 12:40

    Es gibt zwei Stellen, wo Bilddateien bei diesem Modus-Operandi eingesetzt werden.

    1) Schadcode Einschleusen
    2) Erbeutete Kreditkartendaten unauffällig aus dem Shop auslesen..

    Ohne (2) keine Beute, und für (2) KÖNNTE man Steganografie in Bildern auf dem Angegriffenen Servern einsetzen, auf die man als Angreifer Zugriff hat ...

  5. Re: HÄ!?

    Autor: fichti 26.06.20 - 13:04

    Ja, aber der Code wurde ja dennoch modifiziert.
    Mindestens mit einem Mechanismus zum Laden des Icons, dem extrahieren der entsprechenden EXIF Daten und einem eval call. Ein eval call ist ja schon verdächtig.

    Ich gebe dir Recht, dass der Schadcode so relativ einfach aktualisiert werden kann. Vielleicht war es das einzige Ziel.

    Dennoch bleiben die eigentlichen Fragen für mich: Wie ist der Schadcode auf den Server gelangt? Bestand da Zugriff? Wurde dieser von einem CDN nachgeladen oder sogar als Teil von Woocommerce ausgeliefert? Usw.

  6. Re: HÄ!?

    Autor: do5rsw 26.06.20 - 13:38

    Ja die Frage hab ich mir auch gestellt. Leider schweigt sich Golem dazu aus.

    Haben die den Shopserver gehacked um das favicon zu ersetzen?
    Wurde eine gehackede Version von dem Plugin eingeschleust? Und wenn ja nur in diesen einen Server oder vielleicht in die update services des sShopsoftwaremaintainers? Zumindest in letzterem Fall wären mehr als nur dieser Shop betroffen...

    Und warum wird eigentlich in dafür nicht gedachten Exif Einträgen enthaltenes Javascript kommentarlos von den Browsern einfach ausgeführt?!

  7. Re: HÄ!?

    Autor: smonkey 26.06.20 - 14:11

    Die Primärquelle, Blogeintrag von Malewarebytes, ganz oben im Artikel verlinkt sollte diese Fragen beantworten.

  8. Re: HÄ!?

    Autor: mtr (golem.de) 26.06.20 - 14:11

    Hallo fichti und do5rsw,

    die Angreifer haben den Shop initial gehackt um Code in die legitimen JS-Biblitotheken des Shops zu hinterlegen. Mit diesem wird der Code aus dem Icon nachgeladen. Wir haben das noch mal klarer formuliert.

    Ziel des Codes beziehungsweise der Daten in den Bildern ist es, den Angriff zu verschleiern.

    Viele Grüße
    Moritz

  9. Re: HÄ!?

    Autor: fichti 26.06.20 - 14:28

    Sollte er, tut es aber leider nicht.

  10. Re: HÄ!?

    Autor: fichti 26.06.20 - 14:42

    Top! Danke für die Klarstellung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. Haufe Group, Hannover, Freiburg
  3. Porsche AG, Weilimdorf
  4. mahl gebhard konzepte Landschaftsarchitekten BDLA Stadtplaner Partnerschaftsgesellschaft mbB, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme