Κακόβουλοι παράγοντες έχουν παρατηρηθεί να χρησιμοποιούν swap files σε παραβιασμένους ιστότοπους Magento για να αποκρύψουν ένα επίμονο Credit Card Skimmer και να συλλέξουν πληροφορίες πληρωμής.
Δείτε επίσης: Το νέο Caesar Cipher Skimmer στοχεύει WordPress, Magento και OpenCart Sites
Η ύπουλη τεχνική, που παρατηρήθηκε από τον Sucuri στη σελίδα ολοκλήρωσης αγοράς ενός ιστότοπου ηλεκτρονικού εμπορίου Magento, επέτρεψε στο κακόβουλο λογισμικό να επιβιώσει από πολλές προσπάθειες εκκαθάρισης.
Το Credit Card skimmer έχει σχεδιαστεί για να συλλέγει όλα τα δεδομένα στη φόρμα της πιστωτικής κάρτας σε ιστότοπους Magento και να διοχετεύει τα στοιχεία σε έναν τομέα ελεγχόμενο από τους εισβολείς με το όνομα “amazon-analytic[.]com“, ο οποίος καταχωρήθηκε τον Φεβρουάριο του 2024.
“Λάβετε υπόψη τη χρήση της επωνυμίας· αυτή η τακτική παραβίασης δημοφιλών προϊόντων και υπηρεσιών σε ονόματα τομέα χρησιμοποιείται συχνά από κακόβουλους παράγοντες σε μια προσπάθεια να αποφύγουν τον εντοπισμό“, δήλωσε ο ερευνητής ασφαλείας Matt Morrow.
Αυτή είναι μόνο μία από τις πολλές μεθόδους αποφυγής άμυνας που χρησιμοποιεί ο παράγοντας απειλής, η οποία περιλαμβάνει επίσης τη χρήση αρχείων ανταλλαγής (“bootstrap.php-swapme“) για τη φόρτωση του κακόβουλου κώδικα, ενώ διατηρείται ανέπαφο το αρχικό αρχείο (“bootstrap.php“). και χωρίς κακόβουλο λογισμικό.
Αν και προς το παρόν δεν είναι σαφές πώς αποκτήθηκε η αρχική πρόσβαση σε αυτήν την περίπτωση, υπάρχει η υποψία ότι περιλάμβανε τη χρήση του SSH ή κάποιας άλλης περιόδου λειτουργίας τερματικού.
Δείτε ακόμα: Ελάττωμα του CosmicSting επηρεάζει Adobe Commerce και Magento
Η αποκάλυψη έρχεται καθώς παραβιασμένοι λογαριασμοί διαχειριστών σε ιστότοπους WordPress χρησιμοποιούνται για την εγκατάσταση ενός κακόβουλου plugin που μεταμφιέζεται ως το νόμιμο Wordfence, αλλά συνοδεύεται από δυνατότητες δημιουργίας ψεύτικων διαχειριστών και απενεργοποίησης του Wordfence, δίνοντας την εσφαλμένη εντύπωση ότι όλα λειτουργούν όπως αναμένεται.
“Για να είχε τοποθετηθεί το κακόβουλο πρόσθετο στον ιστότοπο αρχικά, ο ιστότοπος θα έπρεπε να είχε ήδη παραβιαστεί – αλλά αυτό το κακόβουλο λογισμικό θα μπορούσε σίγουρα να χρησιμεύσει ως φορέας μίας εκ νέου μόλυνσης“, δήλωσε ο ερευνητής ασφαλείας Ben Martin.
Συνιστάται στους κατόχους ιστοτόπων να περιορίζουν τη χρήση κοινών πρωτοκόλλων όπως FTP, sFTP και SSH σε αξιόπιστες διευθύνσεις IP, καθώς και να διασφαλίζουν ότι τα συστήματα διαχείρισης περιεχομένου και τα plugin είναι ενημερωμένα.
Συνιστάται επίσης στους χρήστες να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων (2FA), να χρησιμοποιούν ένα τείχος προστασίας για να αποκλείουν τα bots και να επιβάλλουν πρόσθετες υλοποιήσεις ασφαλείας wp-config.php, όπως DISALLOW_FILE_EDIT και DISALLOW_FILE_MODS.
Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο Magento και εισάγουν backdoor σε sites
Το Credit Card Skimmer, είναι ένα λογισμικό που χρησιμοποιείται από εγκληματίες για να συλλέξει παράνομα τα δεδομένα από πιστωτικές ή χρεωστικές κάρτες σε ιστότοπους Magento. Αυτά τα skimmer μπορούν να συνδυάζονται άψογα με τον αρχικό εξοπλισμό, καθιστώντας δύσκολο τον εντοπισμό τους από τους χρήστες. Όταν ένα ανυποψίαστο άτομο σαρώνει την κάρτα του, το skimmer καταγράφει τις πληροφορίες της κάρτας, οι οποίες μπορούν στη συνέχεια να χρησιμοποιηθούν για μη εξουσιοδοτημένες συναλλαγές ή κλοπή ταυτότητας. Καθώς η ευαισθητοποίηση αυξάνεται, πολλοί κατασκευαστές και πάροχοι υπηρεσιών εφαρμόζουν χαρακτηριστικά ασφαλείας για την καταπολέμηση του skimming, συμπεριλαμβανομένης της τεχνολογίας chip και των βελτιωμένων συστημάτων παρακολούθησης. Είναι σημαντικό για τους καταναλωτές να παραμείνουν σε επαγρύπνηση και να παρακολουθούν τακτικά τις οικονομικές τους συναλλαγές για ύποπτες δραστηριότητες.
Πηγή: thehackernews
