Microsoft: Οι credit card skimmers αλλάζουν τεχνικές για να κρύψουν τις επιθέσεις τους! Σύμφωνα με τη Microsoft, το card-skimming malware χρησιμοποιεί ολοένα και περισσότερο κακόβουλο PHP script σε web servers για να χειριστεί σελίδες πληρωμών προκειμένου να παρακάμψει τις άμυνες του προγράμματος περιήγησης που ενεργοποιούνται από τον κώδικα JavaScript.
Δείτε επίσης: Συνημμένα PDF αρχεία, με ενσωματωμένα έγγραφα Word, διανέμουν malware
Οι ερευνητές απειλών της Microsoft παρατήρησαν μια αλλαγή στις τακτικές που χρησιμοποιούνται από το card-skimming malware. Την τελευταία δεκαετία, το skimming καρτών κυριαρχείται από το λεγόμενο malware Magecart που βασίζεται σε κώδικα JavaScript για να εισάγει scripts στις σελίδες ολοκλήρωσης αγοράς και να παρέχει malware που καταγράφει και κλέβει τα στοιχεία της κάρτας πληρωμής.
Δείτε επίσης: Microsoft: Τεράστια αύξηση της δραστηριότητας του Linux XorDDoS malware
Η εισαγωγή JavaScript σε διεργασίες front-end ήταν “πολύ εμφανής”, σημειώνει η Microsoft, επειδή μπορεί να είχε ενεργοποιήσει τις προστασίες του προγράμματος περιήγησης, – όπως το Content Security Policy (CSP) – που εμποδίζουν τη φόρτωση εξωτερικών scripts. Οι εισβολείς βρήκαν λιγότερο θορυβώδεις τεχνικές στοχεύοντας web servers με κακόβουλα PHP scripts.
Η Microsoft τον Νοέμβριο του 2021 βρήκε δύο κακόβουλα αρχεία εικόνας, συμπεριλαμβανομένου ενός fake browser favicon, που ανέβαιναν σε server που φιλοξενείται από το Magento. Το Magento είναι μια δημοφιλής πλατφόρμα ηλεκτρονικού εμπορίου.
Οι εικόνες περιείχαν ενσωματωμένο PHP script, το οποίο από προεπιλογή δεν εκτελούνταν στον επηρεαζόμενο web server. Αντίθετα, το PHP script εκτελείται μόνο αφού επιβεβαιωθεί, μέσω cookies, ότι ο web admin δεν είναι συνδεδεμένος αυτήν τη στιγμή, προκειμένου να στοχεύει μόνο αγοραστές.
Μόλις εκτελέστηκε το PHP script, ανέκτησε τη διεύθυνση URL της τρέχουσας σελίδας και αναζήτησε “checkout” και “one page”, δύο λέξεις-κλειδιά που αντιστοιχίζονται στη σελίδα ολοκλήρωσης αγοράς του Magneto.
Έχει αυξηθεί η χρήση κακόβουλης PHP σε card-skimming malware. Το FBI προειδοποίησε την περασμένη εβδομάδα για νέες περιπτώσεις επιτιθέμενων που χρησιμοποίησαν κακόβουλη PHP για να μολύνουν τις σελίδες ολοκλήρωσης αγοράς των επιχειρήσεων των ΗΠΑ με webshells για απομακρυσμένη πρόσβαση σε backdoor στον web server. Η εταιρεία ασφαλείας Sucuri ανακάλυψε ότι το 41% του νέου credit card-skimming malware που εντόπισε το 2021 αφορούσε PHP skimmers που στόχευαν backend web servers.
Η Malwarebytes νωρίτερα αυτό το μήνα είπε ότι το Magecart Group 12 διανέμει νέο κακόβουλο λογισμικό webshell που φορτώνει δυναμικά τον κώδικα απορρόφησης JavaScript μέσω αιτημάτων από την πλευρά του server σε ηλεκτρονικά καταστήματα.
Δείτε επίσης: Microsoft: Το Cryware info-stealer malware στοχεύει crypto wallets
Ωστόσο, το κακόβουλο JavaScript παραμένει μέρος του παιχνιδιού με τις κάρτες. Για παράδειγμα, η Microsoft εντόπισε παραδείγματα card-skimming malware που βασίζονται σε spoofing scripts του Google Analytics και Meta Pixel (πρώην Facebook Pixel) με JavaScript. Αυτό μπορεί να ξεγελάσει τους διαχειριστές ώστε να πιστεύουν ότι τα scripts είναι καλοήθη.
Πηγή πληροφοριών: zdnet.com
