Smilodon Webshell

Web'de gezinme saldırıları, hem çevrimiçi tüccarlar hem de alışveriş yapanlar için önemli bir tehlike olarak kaldı. Gözden geçirme, bir web sitesine kötü amaçlı yazılım yükü enjekte ederek bir web sitesindeki ödeme sayfasını tehlikeye atmayı içerir. Siber suçlular daha sonra hassas ödeme veya kredi / banka kartı bilgilerini yakalayıp elde edebilir ve bunları çeşitli çevrimiçi dolandırıcılık işlemlerinde kullanabilir.

Infosec araştırmacıları tarafından Smilodon (veya Megalodon) adında yeni bir gezinme Web kabuğu tespit edildi. Bazı kanıtlar, Smilodon'un geçen sonbaharda meydana gelen Magento 1 skimming saldırı kampanyalarından sorumlu olduğuna inanılan bir hacker topluluğu olan Magecart Group 12 tarafından konuşlandırıldığına işaret ediyor. Kötü amaçlı yazılım ilk olarak kendisini bir resim / png için geçirmeye çalışan 'Magento.png' adlı bir dosya olarak gizlenir. Ancak, uygun PNG formatından yoksundur. Skimmer Web kabuğunun güvenliği ihlal edilmiş sitelere enjekte edilmesinin tam yolu, sahte PNG dosyasına giden bir yolla kısayol simge etiketlerini düzenlemeyi içerir. İçinde gizli bir PHP Web kabuğu, tehdit aktörlerinin uzaktan erişim ve yönetim elde etmesine ve sürdürmesine olanak tanıyan popüler bir kötü amaçlı yazılım türü.

Smilodon Web kabuğunun tehdit edici işlevselliği, harici bir ana bilgisayardan veri almayı, özellikle kredi kartı taramasına odaklanan bozuk bir kodu, kullanıcı kimlik bilgilerinin toplanmasını ve verilerin dışarı sızmasını içerir. Tehdit ayrıca, harici bir JavaScript kaynağını çağıran yaygın olarak kullanılan gezinme tekniğinden bir sapma sergiliyor. Bir müşteri güvenliği ihlal edilmiş çevrimiçi mağazayı her ziyaret ettiğinde, tarayıcı kötü amaçlı yazılımın barındırıldığı etki alanına bir istek gönderir. Bu işlemi engellemek için etkili bir yöntem, bir etki alanı / IP veritabanı yaklaşımı kullanmaktır.

Bununla birlikte, Smilodon Web kabuğu, kodu tüccar web sitesine dinamik olarak enjekte etmeyi seçti. Skimmer tehdidini taşıyan güvenli olmayan alana yönelik talep de istemciden sunucuya kaymıştır. Bunu yapmak, güvenliği ihlal edilmiş tüm mağazaların kara listeye alınmasını gerektireceğinden, veritabanı engelleme yaklaşımını pratik olarak kullanılamaz hale getirir.