Smilodon Webshell

Ataki skimmingu w sieci pozostają istotnym zagrożeniem zarówno dla sprzedawców internetowych, jak i kupujących. Skimming polega na przejęciu strony płatności w witrynie internetowej poprzez wstrzyknięcie do niej ładunku złośliwego oprogramowania. Cyberprzestępcy mogą następnie przechwycić i uzyskać poufne informacje dotyczące płatności lub karty kredytowej / debetowej i wykorzystać je do przeprowadzania różnych oszustw internetowych.

Naukowcy infosec wykryli nową powłokę skimmingową o nazwie Smilodon (lub Megalodon). Pewne dowody wskazują na to, że Smilodon został wdrożony przez Magecart Group 12, kolektyw hakerski, który uważa się za odpowiedzialny za kampanie ataków skimmingowych Magento 1, które miały miejsce zeszłej jesieni. Złośliwe oprogramowanie jest najpierw zamaskowane jako plik o nazwie „Magento.png", który próbuje przejść do obrazu / png. Brakuje jednak odpowiedniego formatu PNG. Dokładny sposób, w jaki powłoka sieciowa skimmer jest umieszczana w zaatakowanych witrynach, polega na edycji znaczników ikon skrótów ze ścieżką do fałszywego pliku PNG. Wewnątrz ukryta jest powłoka internetowa PHP, popularny typ złośliwego oprogramowania, który umożliwia podmiotom zagrażającym uzyskiwanie i utrzymywanie zdalnego dostępu i administracji.

Groźna funkcjonalność powłoki Smilodon Web obejmuje pobieranie danych z zewnętrznego hosta, uszkodzony kod, który koncentruje się na pobieraniu danych z kart kredytowych, zbieranie danych uwierzytelniających użytkownika i eksfiltrację danych. Zagrożenie to również stanowi odejście od powszechnie stosowanej techniki skimmingu, która wywołuje zewnętrzny zasób JavaScript. Za każdym razem, gdy klient odwiedza zaatakowany sklep internetowy, przeglądarka wyśle żądanie do domeny, w której znajduje się złośliwe oprogramowanie typu skimmer. Skuteczną metodą blokowania tej operacji jest zastosowanie podejścia opartego na domenie / bazie danych IP.

Jednak powłoka sieciowa Smilodon zdecydowała się na dynamiczne wstrzykiwanie kodu do witryny sprzedawcy. Żądanie skierowane do niebezpiecznej domeny przenoszącej zagrożenie typu skimmer również zostało przeniesione z klienta na serwer. Takie postępowanie sprawia, że metoda blokowania bazy danych jest praktycznie bezużyteczna, ponieważ wymagałoby umieszczenia na czarnej liście wszystkich zaatakowanych sklepów.