Grupurile de criminalitate informatică distribuie web shell-uri PHP rău intenționate, deghizate în favicon, pentru a menține accesul la distanță la servere compromise și pentru a injecta skimmers JavaScript în platformele de cumpărături online, cu scopul de a fura informații financiare de la utilizatorii lor.

„Aceste web shell-uri cunoscute sub numele de Smilodon sau Megalodon sunt folosite pentru a încărca dinamic descărcarea codului JavaScript prin solicitări de la server în magazinele online”, a declarat joi Malwarebytes Jérôme Segura. „Această tehnică este interesantă, deoarece majoritatea instrumentelor de securitate din partea clientului nu sunt capabile să detecteze sau să blocheze skimmerul.”

Injectarea skimmerilor web pe site-urile de comerț electronic pentru a fura detaliile cardului de credit este un mod de operare încercat și testat al Magecart, un consorțiu de diferite grupuri de hackeri care vizează sistemele de carduri de credit. Cunoscute și sub numele de atacuri de formjacking, skimmers-urile au forma unui cod JavaScript pe care operatorii îl încorporează în secret într-un site web de comerț electronic, adesea pe pagini de plată, cu intenția de a captura detaliile cardului clientului în timp real și de a le transmite către un server la distanță.

auditor de parole

În timp ce injecția skimmers funcționează de obicei făcând o cerere a clientului pentru o resursă JavaScript externă găzduită pe un domeniu controlat de atacator atunci când un client vizitează magazinul online în cauză, acest din urmă atac este ușor diferit în sensul că codul skimmer este introdus pe site-ul comerciantului. dinamic pe partea serverului.

Programele malware bazate pe PHP trec ca un favicon („Magento.png”), malware-ul fiind inserat în site-urile compromise prin modificarea etichetelor de pictograme de comenzi rapide în cod HTML pentru a indica fișierul imagine fals PNG. La rândul său, acest shell web este configurat pentru a prelua sarcina utilă a etapei următoare de la o gazdă externă, un skimmer pentru carduri de credit care împărtășește asemănări cu o altă variantă utilizată în atacurile Cardbleed. Septembrie trecut, sugerând că actorii de amenințare și-au modificat setul de instrumente după dezvăluirea publică.

Malwarebytes a atribuit ultima campanie Magecart Group 12 pe baza suprapunerilor în tactici, tehnici și proceduri utilizate, adăugând „cel mai nou nume de domeniu pe care l-am găsit (zolo[.]pw) se întâmplă să fie găzduit pe aceeași adresă IP (217.12.204[.]185) ca recaptcha-in[.]pw u google-static[.]pw, zone asociate anterior cu Magecart Group 12. „

Operând cu intenția principală de a captura și filtra datele de plată, jucătorii Magecart au îmbrățișat o gamă largă de vehicule de atac în ultimele câteva luni pentru a rămâne sub radar, evitând detectarea și fura date. De la ascunderea unui cod de furt de hârtie în metadatele imaginii și efectuarea de atacuri IDN omografice către skimmers-uri ascunse în fișierul favicon al unui site web până la utilizarea Google Analytics și Telegram ca canal de filtrare, sindicatul de criminalitate informatică și-a intensificat eforturile pentru a compromite magazinele online.

Skimming a devenit o practică atât de răspândită și profitabilă încât Grupul Lazarus, un colectiv de hackeri sponsorizați de stat afiliați Coreei de Nord, a atacat site-urile web care acceptă plăți cu criptomonede cu sniffers JavaScript rău intenționați pentru a fura bitcoini. Și eter într-o nouă campanie numită „BTC Schimbător ”care a început la începutul anului trecut.

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.