Es wurde beobachtet, dass Bedrohungsakteure Auslagerungsdateien in kompromittierten Websites verwenden, um einen hartnäckigen Kreditkarten-Skimmer zu verstecken und Zahlungsinformationen zu sammeln.
Die hinterhältige Technik, die von Sucuri auf der Kassenseite einer Magento-E-Commerce-Website beobachtet wurde, ermöglichte es der Malware, mehrere Bereinigungsversuche zu überleben, so das Unternehmen.
Der Skimmer ist so konzipiert, dass er alle Daten in das Kreditkartenformular auf der Website einträgt und die Details zu einer vom Angreifer kontrollierten Domain namens "amazon-analytic[.]com" exfiltriert, die im Februar 2024 registriert wurde.
"Beachten Sie die Verwendung des Markennamens. Diese Taktik, populäre Produkte und Dienstleistungen in Domänennamen zu verwenden, wird häufig von bösartigen Akteuren angewandt, um einer Entdeckung zu entgehen", so der Sicherheitsforscher Matt Morrow.
Dies ist nur eine von vielen Methoden, mit denen die Bedrohung umgangen wird. Dazu gehört auch die Verwendung von Auslagerungsdateien ("bootstrap.php-swapme"), um den bösartigen Code zu laden, während die Originaldatei ("bootstrap.php") intakt und frei von Malware bleibt.
"Wenn Dateien direkt über SSH bearbeitet werden, erstellt der Server eine temporäre 'Swap'-Version für den Fall, dass der Editor abstürzt, was verhindert, dass der gesamte Inhalt verloren geht", erklärt Morrow.
"Es wurde deutlich, dass die Angreifer eine Auslagerungsdatei nutzten, um die Malware auf dem Server zu halten und die normalen Erkennungsmethoden zu umgehen.
Obwohl derzeit nicht klar ist, wie der ursprüngliche Zugang in diesem Fall erlangt wurde, wird vermutet, dass er über SSH oder eine andere Terminalsitzung erfolgt ist.
Die Enthüllung erfolgt, da kompromittierte Administrator-Benutzerkonten auf WordPress-Websites zur Installation eines bösartigen Plugins verwendet werden, das sich als legitimes Wordfence-Plugin ausgibt, jedoch die Möglichkeit bietet, betrügerische Administrator-Benutzer anzulegen und Wordfence zu deaktivieren, während gleichzeitig der falsche Eindruck erweckt wird, alles funktioniere wie erwartet.
"Damit das bösartige Plugin überhaupt auf der Website platziert werden konnte, musste die Website bereits kompromittiert worden sein - aber diese Malware könnte definitiv als Reinfektionsvektor dienen", so der Sicherheitsforscher Ben Martin.
Der bösartige Code funktioniert nur auf Seiten der WordPress-Administrationsoberfläche, deren URL das Wort 'Wordfence' enthält (Wordfence-Plugin-Konfigurationsseiten)."
Website-Besitzern wird empfohlen, die Verwendung gängiger Protokolle wie FTP, sFTP und SSH auf vertrauenswürdige IP-Adressen zu beschränken und sicherzustellen, dass die Content-Management-Systeme und Plugins auf dem neuesten Stand sind.
Es wird außerdem empfohlen, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, eine Firewall zum Blockieren von Bots zu verwenden und zusätzliche Sicherheitsimplementierungen in der wp-config.php wie DISALLOW_FILE_EDIT und DISALLOW_FILE_MODS zu erzwingen.
