Smilodon Webshell
網絡掠奪攻擊仍然對在線商人和購物者都構成威脅。略讀涉及通過向網站中註入惡意軟件有效載荷來破壞網站上的付款頁面。然後,網絡罪犯可以攔截並獲取敏感的付款或信用卡/借記卡信息,並使用它來進行各種在線欺詐。
信息安全研究人員發現了一種名為Smilodon(或Megalodon)的新的撇取Web外殼。某些證據表明Smilodon已被Magecart Group 12部署,該黑客組織被認為是去年秋天進行的Magento 1掠奪攻擊活動的負責人。該惡意軟件首先被偽裝成名為" Magento.png"的文件,該文件試圖將自身傳遞給image / png。但是,它缺少適當的PNG格式。將撇渣器Web Shell注入受感染站點的確切方法包括編輯帶有偽造的PNG文件路徑的快捷方式圖標標籤。它的內部隱藏著一個PHP Web Shell,這是一種流行的惡意軟件類型,它使威脅參與者能夠實現和維護遠程訪問和管理。
Smilodon Web Shell的威脅功能包括從外部主機檢索數據,專門針對信用卡竊取的損壞代碼,用戶憑證收集以及數據洩露。這種威脅還表現出與調用外部JavaScript資源的常用撇取技術的背離。每當客戶訪問受感染的在線商店時,瀏覽器都會將請求發送到託管撇渣器惡意軟件的域。阻止此操作的有效方法是使用域/ IP數據庫方法。
但是,Smilodon Web Shell選擇將代碼動態地註入到商家網站中。對帶有分離器威脅的不安全域的請求也已從客戶端轉移到服務器。這樣做會使數據庫阻塞方法在實際中不可用,因為它將需要將所有受損的存儲都列入黑名單。
