Smilodon Webshell

Os ataques de skimming na Web continuam sendo um perigo relevante, tanto para os comerciantes quanto para os compradores online. O skimming envolve comprometer a página de pagamento em um site, injetando uma carga de malware nela. Os cibercriminosos podem então interceptar e obter informações confidenciais de pagamento ou de cartão de crédito/débito e usá-las para realizar várias fraudes online.

Um novo shell skimming da Web chamado Smilodon (ou Megalodon) foi detectado pelos pesquisadores de infosec. Certas evidências apontam para o Smilodon sendo implantado pelo Magecart Group 12, um coletivo de hackers que se acredita ser o responsável pelas campanhas de ataque de skimming do Magento 1 que ocorreram no outono passado. O malware é primeiro disfarçado como um arquivo chamado 'Magento.png' que tenta se passar por uma imagem/png. No entanto, ele não possui o formato PNG adequado. A maneira exata como o skimmer Web shell é injetado nos sites comprometidos envolve a edição das tags de ícone de atalho com um caminho para o arquivo PNG falso. Escondido dentro dele está um shell PHP da Web, um tipo popular de malware que permite que os agentes de ameaças obtenham e mantenham acesso e administração remotos.

A funcionalidade ameaçadora do shell Smilodon Web inclui a recuperação de dados de um host externo, um código corrompido que se concentra especificamente em skimming de cartão de crédito, coleta de credenciais de usuário e exfiltração de dados. A ameaça também apresenta um desvio da técnica de skimming comumente usada, que chama um recurso externo do JavaScript. Sempre que um cliente visita a loja online comprometida, o navegador envia uma solicitação ao domínio onde o malware do skimmer está hospedado. Um método eficaz para bloquear essa operação é usar uma abordagem de banco de dados de domínio/IP.

No entanto, o shell Smilodon da Web optou por injetar código no site do comerciante dinamicamente. A solicitação para o domínio inseguro que carrega a ameaça do skimmer também mudou do cliente para o servidor. Fazer isso torna a abordagem de bloqueio do banco de dados praticamente inutilizável, pois exigiria a lista negra de todos os armazenamentos comprometidos.