Smilodon Webshell

Webbskimningsattacker har förblivit en relevant fara för både online-handlare och kunder. Skimming innebär att man äventyrar betalningssidan på en webbplats genom att injicera en skadlig nyttolast i den. Cyberbrottslingar kan sedan fånga upp och få känslig betalnings- eller kredit- / bankkortinformation och använda den för att utföra olika onlinebedrägerier.

Ett nytt skummande webbskal med namnet Smilodon (eller Megalodon) har upptäckts av infosec-forskare. Vissa bevis pekar mot att Smilodon distribueras av Magecart Group 12, ett hackerkollektiv som tros vara ansvarigt för Magento 1- skumattackkampanjerna som ägde rum förra hösten. Malware skadas först som en fil med namnet 'Magento.png' som försöker skicka sig själv för en bild / png. Det saknar dock rätt PNG-format. Det exakta sättet att skimmerns webbskal injiceras på de komprometterade platserna innebär att man redigerar genvägsikontaggarna med en väg till den falska PNG-filen. Dold inuti är ett PHP-webbskal, en populär typ av skadlig kod som gör det möjligt för hotaktörer att uppnå och upprätthålla fjärråtkomst och administration.

Den hotfulla funktionaliteten hos Smilodon Web-skal inkluderar att hämta data från en extern värd, en skadad kod som fokuserar på kreditkortsskimming specifikt, skörd av användaruppgifter och exfiltrering av data. Hotet visar också en avvikelse från den vanliga skummetekniken som kallar en extern JavaScript-resurs. När en kund besöker den komprometterade webbutiken kommer webbläsaren att skicka en begäran till domänen där skimmer-skadlig programvara är värd. En effektiv metod för att blockera denna operation är att använda en domän / IP-databasstrategi.

Smilodon Web-skalet har dock valt att injicera kod på handlarens webbplats dynamiskt. Begäran mot den osäkra domänen som bär skimmerhotet har också flyttats från klienten till servern. Om du gör det blir databasblockeringsmetoden oanvändbar i praktiken, eftersom det skulle kräva svartlistning av alla komprometterade butiker.