Especialista também demonstrou técnica para esconder arquivos em imagens PNG publicadas no Twitter, reforçando alerta sobre a necessidade de verificar a validade de dados ‘benignos’.
A empresa de segurança Sucuri alertou que hackers estão utilizando imagens JPG falsas para esconder dados roubados de lojas virtuais com o objetivo de burlar tecnologias de segurança que detectam e bloqueiam o vazamento de dados coletados.
A prática está ligada aos ataques conhecidos como “Magecart”. Nessa fraude, o invasor adultera a página de pagamento de uma loja ou serviço on-line para que as informações fornecidas pelo cliente (incluindo o cartão de crédito) sejam remetidas ao criminoso.
Por ser uma modalidade de fraude relativamente nova, diversas inovações têm sido aplicadas pelos criminosos com o objetivo de derrotar as medidas de defesa adotadas pelos sistemas de comércio eletrônico.
Para que o ataque permaneça por mais tempo na loja, os invasores precisam esconder a atividade de envio dos dados roubados da melhor forma possível.
Apesar do truque ser novo, os hackers não estão utilizando esteganografia – que seria um método mais sofisticado de ocultação de dados.
A esteganografia visa camuflar informações de um tipo (como os dados de cartão) em um arquivo, ou “suporte”, de outra categoria (como um arquivo de imagem).
Nesse caso, de acordo com a Sucuri, os hackers desenvolveram um código que recolhe os dados do pagamento e os armazenam em um arquivo JPG – mas não se trata de uma foto de fato. Eles apenas de aproveitam da suposição de que arquivo JPG, por representarem imagens, seriam benignos.
Contudo, no caso dessas imagens falsas, não há nenhum dado gráfico – apenas as informações roubadas. Com a imagem gravada no servidor, o criminoso só precisa baixar a “foto” para obter os dados que foram roubados.
De acordo com a Sucuri, o ataque está sendo realizado contra lojas de comércio eletrônico que usam o sistema Magento, um dos mais populares para a criação simples e rápida de lojas on-line.
O ataque, porém, não caracteriza uma nova brecha ou vulnerabilidade no Magento. Os hackers só podem usar essa técnica na segunda fase de uma invasão, depois de já conseguirem acesso ao sistema.
Esteganografia no Twitter
Embora os hackers identificados pela Sucuri estejam utilizando arquivos falsos de imagem, os riscos de segurança da esteganografia de fato – com imagens verdadeiras – também existe.
O especialista em segurança David Buchanan demonstrou que é possível utilizar técnicas de esteganografia para enviar diversos tipos de arquivo ao Twitter, desde que sejam camuflados como imagens do tipo PNG (Portable Network Graphics).
Ele enviou “fotos” ao Twitter que podem ser renomeadas para outras extensões, como “.mp3” e “.zip”, para “transformá-las” em música e até em código-fonte de programas.
A técnica poderia ser usada por hackers para armazenar programas maliciosos ou até comandos ocultos em perfis do Twitter. Como o Twitter é considerado um site de confiança, esse conteúdo não seria bloqueado.
Hackers já fizeram algo semelhante utilizando descrições de canais no YouTube e tuítes. Porém, esse conteúdo pode ser facilmente identificado, o que leva à suspensão das contas.
A ocultação de dados de comando em imagens legítimas poderia dificultar a atuação das redes sociais contra os hackers. Por regra, quase todas as imagens e vídeos em redes sociais passam um processamento que “limpa” os arquivos para retirar as partes manipuláveis e metadados sensíveis (como o nome ou local da foto).
O que Buchanan descobriu é que alguns arquivos PNG não são reprocessados totalmente pelo Twitter, mantendo parte dos dados originais e permitindo a adição de dados que não deveriam estar no arquivo por não fazerem parte do PNG.
O especialista, que participa de programas de recompensas de falhas (“bug bounty”), decidiu divulgar o truque depois que a equipe do Twitter teria afirmado que essa possibilidade não é considerada uma falha de segurança.
De fato, a possibilidade de salvar outros tipos de dados dentro de imagens não representa um risco para o próprio Twitter. Porém, ainda incentiva a criação de perfis falsos que abusem desse truque.
Embora o Twitter ainda não tenha se pronunciado sobre alerta de Buchanan, é possível que a rede social modifique a forma que processa arquivos PNG para coibir a prática – mesmo que não a considere uma “falha de segurança”.
Dúvidas sobre segurança, hackers e vírus? Fale conosco contato@addvalue.com.br
==
Fonte: https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/03/17/hackers-escondem-cartoes-e-dados-roubados-de-lojas-virtuais-dentro-de-fotos-falsas.ghtml
Artigo escrito por: Altieres Rohr
