Es wurde beobachtet, dass Bedrohungsakteure Auslagerungsdateien in kompromittierten Websites verwenden, um einen hartnäckigen Kreditkarten-Skimmer zu verstecken und Zahlungsinformationen zu sammeln.
Die hinterhältige Technik, die von Sucuri auf der Kassenseite einer Magento-E-Commerce-Website beobachtet wurde, ermöglichte es der Malware, mehrere Bereinigungsversuche zu überleben, so das Unternehmen.
Der Skimmer ist so konzipiert, dass er alle Daten in das Kreditkartenformular auf der Website einträgt und die Details zu einer vom Angreifer kontrollierten Domain namens "amazon-analytic[.]com" exfiltriert, die im Februar 2024 registriert wurde.
“Note the use of the brand name; this tactic of leveraging popular products and services in domain names is often used by bad actors in an attempt to evade detection,” security researcher Matt Morrow said.
Cybersecurity
Dies ist nur eine von vielen Methoden, mit denen die Bedrohung umgangen wird. Dazu gehört auch die Verwendung von Auslagerungsdateien ("bootstrap.php-swapme"), um den bösartigen Code zu laden, während die Originaldatei ("bootstrap.php") intakt und frei von Malware bleibt.
"Wenn Dateien direkt über SSH bearbeitet werden, erstellt der Server eine temporäre 'Swap'-Version für den Fall, dass der Editor abstürzt, was verhindert, dass der gesamte Inhalt verloren geht", erklärt Morrow.
"Es wurde deutlich, dass die Angreifer eine Auslagerungsdatei nutzten, um die Malware auf dem Server zu halten und die normalen Erkennungsmethoden zu umgehen.
Obwohl derzeit nicht klar ist, wie der ursprüngliche Zugang in diesem Fall erlangt wurde, wird vermutet, dass er über SSH oder eine andere Terminalsitzung erfolgt ist.
Die Enthüllung erfolgt, da kompromittierte Administrator-Benutzerkonten auf WordPress-Websites zur Installation eines bösartigen Plugins verwendet werden, das sich als legitimes Wordfence-Plugin ausgibt, jedoch die Möglichkeit bietet, betrügerische Administrator-Benutzer anzulegen und Wordfence zu deaktivieren, während gleichzeitig der falsche Eindruck erweckt wird, alles funktioniere wie erwartet.
“In order for the malicious plugin to have been placed on the website in the first place, the website would have already had to have been compromised — but this malware could definitely serve as a reinfection vector,” security researcher Ben Martin said.
Cybersecurity
“The malicious code only works on pages of WordPress admin interface whose URL contains the word ‘Wordfence’ in them (Wordfence plugin configuration pages).”
Website-Besitzern wird empfohlen, die Verwendung gängiger Protokolle wie FTP, sFTP und SSH auf vertrauenswürdige IP-Adressen zu beschränken und sicherzustellen, dass die Content-Management-Systeme und Plugins auf dem neuesten Stand sind.
Users are also recommended to enable two-factor authentication (2FA), use a firewall to block bots, and enforce additional wp-config.php security implementations such as DISALLOW_FILE_EDIT and DISALLOW_FILE_MODS.
