Malwarebytes透露，一群网络犯罪分子设法将他们的网络撇渣器隐藏在图像的EXIF元数据中，然后这些图像被受感染的在线商店秘密加载。

尽管图像文件长期以来一直用于承载恶意代码和泄露数据（隐写术在几年前已成为黑客的流行trick俩），但将网络浏览器隐藏在图像文件中并不常见。

此类脚本旨在识别和窃取信用卡数据以及其他毫无疑问的用户在受感染的电子商务网站上输入的其他敏感信息，并将收集到的数据发送给活动运营商。

Malwarebytes的安全研究人员说，最近观察到的这种攻击之所以脱颖而出，不仅是因为使用了图像来隐藏撇取者，而且还因为它使用图像来窃取了被盗的信用卡数据。

根据Malwarebytes的说法，最初的java script是从运行WordPress的WooCommerce插件的在线商店加载的，其中多余的代码已附加到商家托管的合法脚本中。

该脚本将加载一个与受感染商店使用的favicon相同的favicon文件（其品牌的徽标），并且正在从该图像的“版权”元数据字段加载Web撇渣器。

撇取器的设计目的是像其他类似代码一样，捕获输入字段的内容，在线购物者可以在其中输入他们的姓名，账单地址和信用卡详细信息。

撇取器还对收获的数据进行编码，反转字符串，然后通过POST请求将信息作为图像文件发送到外部服务器。

Malwarebytes 指出： “威胁者可能决定坚持使用图像主题，以通过favicon.ico文件隐藏被泄露的数据。”

在调查过程中，安全研究人员在受感染网站的打开目录中找到了撇渣器工具包源代码的副本，这使他们可以了解如何使用版权字段内的注入脚本来制作favicon.ico文件。 。

Malwarebytes还能够识别早期版本的撇渣器，该撇渣器缺乏最新版本中存在的混淆功能，但具有相同的代码功能，并认为它可能与Magecart Group 9有关。