گروهی از هکرها در آمریکای لاتین، از آپلود عکس برای حمله به سایت‌های تجاری استفاده می‌کنند. این روش مبتنی بر استگانوگرافی است و کد مخرب را در سرایند فایل‌های تصویری پنهان می‌کند. تیم پژوهشی Trustwave این حمله را کشف کرده است.

پنهان کردن بدافزار در فایل‌های تصویری روش شناخته شده‌ای است. بسیاری از فیلترها بدون بررسی چندانی به فایل‌های تصویری اجازه عبور می‌دهند. اما نقطه قوت روش مورد استفاده اخیر این است که می‌تواند حتی وبسایت‌های کاملا وصله شده و ظاهرا آسیب‌ناپذیر را تنها با آپلود یک عکس آلوده کند.

به قول کارل سیگلر (Karl Sigler)، محقق امنیتی Trustwave «زبان PHP دارای تابعی [به نام exif_read_data] است که با آن می‌توان اطلاعات EXIF یک فایل تصویری را خواند و تجزیه کرد. بنابراین اگر وبسایتی را بیابید که از PHP استفاده می‌کند و به کاربران اجازه بارگذاری عکس می‌دهد، می‌توانید هر بدافزاری را که می‌خواهید آپلود کنید».

EXIF نوعی استاندارد است که امکان ذخیره اطلاعاتی مثل زمان تصویربرداری، رزولوشن، اسم و حجم فایل و… را فراهم می‌کند. معمولا دوربین‌ها چنین اطلاعاتی را به همراه عکس ذخیره می‌کنند. PHP تابعی برای خواندن EXIF دارد. چنین اطلاعاتی می‌تواند به عنوان مثال برای کمک به مخاطبان نابینای وبسایت‌ها مفید باشد. این تابع در ابزارهای طراحی سایت و افزونه‌ها آماده بسیاری به کار رفته است. برای پیدا کردن سایتی با چنین ویژگی‌ای، مهارت فنی متوسط کفایت می‌کند. برای جاسازی بدافزار در فایل نیز ابزارهای آماده و رایگان، به وفور در اینترنت یافت می‌شوند.

این روش حمله چندان رایج نیست. آخرین بار در سال 2013 نمونه‌هایی از آن مشاهده شده بودند. اما این کارزار جدید یک پله از کارزارهای قبلی بالاتر است. در این مورد، مهاجمان کل بدافزار را در فایل قرار نمی‌دهند، بلکه بدافزار را روی سرور خود بارگذاری می‌کنند و در فایل تصویری، تنها کد کوچکی برای دانلود بدافزار قرار می‌دهند. بدنی ترتیب، فایل تصویری چندان بزرگ نمی‌شود و کمتر جلب توجه می‌کند.

طبق مشاهدات Trustwave این حمله بیشتر سایت‌های تجارت الکترونیکی در آمریکای لاتین را هدف قرار داده است. چنین تلاشی از جانب هکرها قابل توجیه است، زیرا بازار فروش اطلاعات کارت‌های بانکی بسیار داغ است. در این بازار، حجم اطلاعاتی که از طریق تراکنش‌های اینترنتی سرقت شده‌اند، حتی بیشتر از اطلاعاتی است که به وسیله اسکیمرهای فیزیکی دزدیده شده‌اند.

به منظور در امان ماندن از چنین حملاتی بهتر است دارندگان وبسایت، فایل‌های تصویری را به دنبال تگ‌های PHP اسکن کنند. حتی در صورتی که ضرورت ندارد، امکان آپلود فایل را به بازدیدکنندگان ندهید. اقدام دیگری که می‌توانید انجام دهید این است که فایل‌های تصویری را در لیست سفید قرار ندهید. همچنین اگر متوجه شدید که یک فایل PHP بدون اجازه روی وبسایت شما آپلود شده است، باید احتمال چنین حمله‌ای را بدهید.