Smilodon Webshell

Webskimmingangreb er forblevet en relevant fare for både onlinehandlere og kunder. Skimming involverer at kompromittere betalingssiden på et websted ved at injicere en malware-nyttelast i den. Cyberkriminelle kan derefter opfange og få følsomme betalings- eller kredit- / betalingskortoplysninger og bruge dem til at udføre forskellige online-svig.

En ny skummende webskal ved navn Smilodon (eller Megalodon) er blevet påvist af infosec-forskere. Visse beviser peger mod, at Smilodon bliver indsat af Magecart Group 12, et hackerkollektiv, der menes at være ansvarlig for Magento 1- skimmeangrebskampagnerne, der fandt sted sidste efterår. Malwaren er først forklædt som en fil ved navn 'Magento.png', der forsøger at passere sig selv til et billede / png. Det mangler dog det korrekte PNG-format. Den nøjagtige måde, hvorpå skimmer-webskallen injiceres i de kompromitterede websteder, involverer redigering af genvejsikonetags med en sti til den falske PNG-fil. Skjult inde i det er en PHP Web shell, en populær malware-type, der giver trusselsaktører mulighed for at opnå og vedligeholde fjernadgang og administration.

Den truende funktionalitet af Smilodon Web-shell inkluderer hentning af data fra en ekstern vært, en beskadiget kode, der fokuserer på kreditkortskimming specifikt, høst af brugerlegitimationsoplysninger og exfiltrering af data. Truslen udviser også en afvigelse fra den almindeligt anvendte skimming-teknik, der kalder en ekstern JavaScript-ressource. Hver gang en kunde besøger den kompromitterede onlinebutik, sender browseren en anmodning til det domæne, hvor skimmer-malware er hostet. En effektiv metode til at blokere denne operation er at bruge en domæne / IP-databasetilgang.

Smilodon Web-shell har dog valgt at indsprøjte kode dynamisk på købmandens websted. Anmodningen mod det usikre domæne, der bærer skimmertruslen, er også skiftet fra klienten til serveren. Dette gør databaseblokering næsten ubrugelig, da det ville kræve, at sortliste alle kompromitterede butikker.