Smilodon Webshell

Gli attacchi di web skimming sono rimasti un pericolo rilevante sia per i commercianti online che per gli acquirenti. Lo skimming comporta la compromissione della pagina di pagamento su un sito Web iniettandovi un payload malware. I criminali informatici possono quindi intercettare e ottenere informazioni sensibili su pagamenti o carte di credito / debito e utilizzarle per eseguire varie frodi online.

Un nuovo Web shell di scrematura chiamato Smilodon (o Megalodon) è stato rilevato dai ricercatori di infosec. Alcune prove indicano che Smilodon è stato schierato dal Magecart Group 12, un collettivo di hacker che si ritiene sia responsabile delle campagne di attacco di scrematura Magento 1 che hanno avuto luogo lo scorso autunno. Il malware viene prima mascherato da un file denominato "Magento.png" che tenta di passarsi per un'immagine / png. Tuttavia, manca il formato PNG appropriato. Il modo esatto in cui lo skimmer Web shell viene iniettato nei siti compromessi implica la modifica dei tag dell'icona di collegamento con un percorso al file PNG falso. Al suo interno è nascosta una shell Web PHP, un tipo di malware popolare che consente agli autori delle minacce di ottenere e mantenere l'accesso e l'amministrazione remoti.

La minacciosa funzionalità della shell Web Smilodon include il recupero dei dati da un host esterno, un codice danneggiato che si concentra specificamente sullo skimming della carta di credito, sulla raccolta delle credenziali dell'utente e sull'esfiltrazione dei dati. La minaccia mostra anche una deviazione dalla tecnica di scrematura comunemente utilizzata che chiama una risorsa JavaScript esterna. Ogni volta che un cliente visita il negozio online compromesso, il browser invia una richiesta al dominio in cui è ospitato il malware skimmer. Un metodo efficace per bloccare questa operazione consiste nell'utilizzare un approccio database dominio / IP.

Tuttavia, la shell Web di Smilodon ha scelto di inserire il codice nel sito Web del commerciante in modo dinamico. Anche la richiesta verso il dominio non sicuro che trasporta la minaccia dello skimmer è passata dal client al server. In questo modo, l'approccio al blocco del database diventa praticamente inutilizzabile, poiché richiederebbe l'inserimento nella blacklist di tutti gli archivi compromessi.