Hackers στοχεύουν ιστοσελίδες Magento με Sneaky Credit Card Skimmer
Hackers χρησιμοποιούν swap files σε παραβιασμένες ιστοσελίδες για να κρύβουν skimmers πιστωτικών καρτών και να συλλέγουν πληροφορίες πληρωμών. Η Sucuri εντόπισε αυτή την τεχνική στη σελίδα checkout ενός Magento e-commerce site, όπου το κακόβουλο λογισμικό (malware) επιβίωσε ακόμα και μετά από πολλαπλές προσπάθειες απομάκρυνσής του.
Ο skimmer καταγράφει δεδομένα από την πιστωτική κάρτα του θύματος και εξάγει λεπτομέρειες σε ένα domain “amazon-analytic[.]com”, το οποίο ελέγχεται από τον hacker. Ο ερευνητής ασφαλείας Matt Morrow σημείωσε ότι η χρήση δημοφιλών brand names σε domains είναι συνηθισμένη τακτική από κακόβουλους χρήστες για να αποφεύγουν την ανίχνευσή τους.
Οι hackers χρησιμοποιούν αρκετές μεθόδους αποφυγής ανίχνευσης, όπως τη χρήση swap files (“bootstrap.php-swapme”) για να φορτώσουν κακόβουλο κώδικα χωρίς να έρχονται σε επαφή με το αρχικό αρχείο (“bootstrap.php”). Εκμεταλλεύονται επίσης swap files που δημιουργούνται κατά τη διάρκεια των συνεδριών SSH για να εξασφαλίζουν την παρουσία του κακόβουλου λογισμικού. Αν και δεν είναι γνωστό, πώς οι hackers αποκτούν πρόσβαση, υπάρχει υποψία ότι η είσοδός τους πραγματοποιείται από συνεδρίες SSH.
Εν τω μεταξύ, παραβιασμένοι λογαριασμοί διαχειριστών σε ιστοσελίδες WordPress χρησιμοποιούνται για να εγκατασταθεί ένα κακόβουλο plugin που μιμείται το νόμιμο Wordfence plugin, το οποίο μπορεί να δημιουργήσει ψεύτικους χρήστες ως διαχειριστές και να απενεργοποιήσει το Wordfence ενώ φαίνεται ότι λειτουργεί κανονικά. Ο ερευνητής ασφάλειας Ben Martin τόνισε ότι ο κακόβουλος κώδικας ενεργοποιείται μόνο σε σελίδες διαχείριης του WordPress που περιέχουν “Wordfence” στη διεύθυνση URL.
Όσοι διαθέτουν ιστοσελίδες, καλό θα ήταν να περιορίσουν το FTP, sFTP και SSH σε αξιόπιστες διευθύνσεις IP, να διατηρούν τα συστήματα διαχείρισης περιεχομένου και τα plugins ενημερωμένα, να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA), να χρησιμοποιούν firewalls για να μπλοκάρουν bots και να εφαρμόζουν μέτρα ασφάλειας στο wp-config.php όπως DISALLOW_FILE_EDIT και DISALLOW_FILE_MODS.
