Smilodon Webshell

Web skimming-aanvallen zijn een relevant gevaar gebleven voor zowel online verkopers als kopers. Skimming houdt in dat de betaalpagina op een website in gevaar wordt gebracht door er een malware-lading in te injecteren. De cybercriminelen kunnen vervolgens gevoelige betalings- of creditcard- / betaalpasinformatie onderscheppen en verkrijgen en deze gebruiken om verschillende online fraudeurs uit te voeren.

Een nieuwe skimming webshell genaamd Smilodon (of Megalodon) is ontdekt door infosec-onderzoekers. Bepaalde bewijzen wijzen erop dat Smilodon wordt ingezet door de Magecart Group 12, een hackerscollectief waarvan wordt aangenomen dat het verantwoordelijk is voor de Magento 1 skimming-aanvalscampagnes die afgelopen herfst plaatsvonden. De malware wordt eerst vermomd als een bestand met de naam 'Magento.png' dat zichzelf probeert door te geven voor een afbeelding / png. Het ontbreekt echter aan het juiste PNG-formaat. De exacte manier waarop de skimmer-webshell wordt geïnjecteerd in de gecompromitteerde sites, is het bewerken van de snelkoppelingspictogramtags met een pad naar het nep-PNG-bestand. Daarin zit een PHP-webshell verborgen, een populair malwaretype waarmee bedreigingsactoren externe toegang en beheer kunnen bereiken en onderhouden.

De bedreigende functionaliteit van de Smilodon-webshell omvat het ophalen van gegevens van een externe host, een beschadigde code die zich specifiek richt op het skimmen van creditcards, het verzamelen van gebruikersgegevens en het exfiltreren van gegevens. De dreiging vertoont ook een afwijking van de veelgebruikte skimming-techniek die een externe JavaScript-bron aanroept. Telkens wanneer een klant de gecompromitteerde online winkel bezoekt, stuurt de browser een verzoek naar het domein waar de skimmer-malware wordt gehost. Een effectieve methode om deze bewerking te blokkeren, is het gebruik van een domein / IP-databasebenadering.

De Smilodon-webshell heeft er echter voor gekozen om de code dynamisch in de website van de verkoper te injecteren. Het verzoek aan het onveilige domein met de skimmer-dreiging is ook verschoven van de client naar de server. Hierdoor wordt de benadering van het blokkeren van databases praktisch onbruikbaar, omdat alle gecompromitteerde winkels op de zwarte lijst moeten worden gezet.