faviconにはいろんなものが入っています
faviconってあるじゃないですか。
WebブラウザでWebページを表示したときに、そのWebのタブのページタイトルの左につく、小さなアイコンです。
あれって、もともとの狙いとしてはそのWebページをアイコンでそれとわかりやすくするものだと思うんです。
でも、他の用途にも便利なんですね。
2020年にはfavionのEXIFにJavaScriptを入れて配布、ってのがありましたが、今回のもその作戦に似た感じです。
今度はfaviconにPHPのコードを入れています。
faviconって要は画像ファイルの集合体なのですが、そのなかに画像じゃないものを混ぜ込んできたわけですね。
混ぜ込んだものは今回はPHPのコードです。
で、そのPHPのコードでWebshellを実現していますよ。
Webshellは攻撃者がWebサイトのポートを介してWebサーバーの特定の操作権限を取得することができるものです。
このWebshellはe-skimmerをPCに展開し、e-skimmerはユーザの支払情報を盗み取ります。
今回のも画像ファイルの集合体であるはずのfaviconに仕込まれていますので、多くのセキュリティデバイスの検査はすり抜けてしまいます。
この攻撃はTTPからMagecartの活動だと推定されています。
最近あまり活発でないのかと思ったら、こんな活動をやっていたのですね。
次から次へと、うまいことを考えるものです。
参考記事(外部リンク):Magecart gang hides PHP-based web shells in favicons
securityaffairs.co/wordpress/117909/cyber-crime/magecart-web-shells.html
