Cybercriminals are constantly devising tricks to deceive users and steal their data, as well as personal information or credit cards.
Recently, Malwarebytes researchers observed a new campaign, in which attackers uploaded a JavaScript web skimmer disguised as a favicon on compromised e-commerce portals.
According to Malwarebytes, the malicious actor registered a new website that claims to offer thousands of images and icons for download, but which actually served as a fake front-end for a credit card theft operation.
La campaña salió a la luz cuando los investigadores notaron que varios sitios de comercio electrónico estaban cargando un favicon de Magento desde un dominio llamado myicons que cuenta con varios iconos y favicons, archivos de imagen que se muestran en la pestaña del navegador que se usa a menudo para la marca o identificando un sitio web.
Investigaciones posteriores han demostrado que el sitio se registró solo unos días antes y se alojó en un servidor previamente vinculado a otra campaña de skimming web. In addition, el contenido alojado en myicons fue robado de un sitio legítimo.
Los expertos analizaron el archivo favicon.png y descubrieron que al visitar la página de pago de un sitio web de Magento comprometido, The seemingly harmless PNG favicon image was automatically replaced with malicious JavaScript code designed to steal credit card information and send it to the attackers' servers.
The credit card skimmer was also being used to collect personal information from compromised e-commerce site customers, including names, Addresses, phone numbers and email addresses.