Se ha observado que los actores de amenazas utilizan archivos de intercambio en sitios web comprometidos para ocultar un skimmer de tarjetas de crédito persistente y recopilar información de pago.
La técnica furtiva, observada por Sucuri en la página de pago de un sitio de comercio electrónico de Magento, permitió que el malware sobreviviera a múltiples intentos de limpieza, dijo la compañía.
El skimmer está diseñado para capturar todos los datos del formulario de tarjeta de crédito en el sitio web y filtrar los detalles a un dominio controlado por el atacante llamado “amazon-analytic”.[.]com”, que se registró en febrero de 2024.
“Tenga en cuenta el uso del nombre de marca; esta táctica de aprovechar productos y servicios populares en nombres de dominio es utilizada a menudo por actores maliciosos en un intento de evadir la detección”, dijo el investigador de seguridad Matt Morrow. dicho.
Este es solo uno de los muchos métodos de evasión de defensa empleados por el actor de amenazas, que también incluye el uso de archivos de intercambio (“bootstrap.php-swapme”) para cargar el código malicioso mientras se mantiene el archivo original (“bootstrap.php”) intacto y libre de malware.
“Cuando los archivos se editan directamente a través de SSH, el servidor creará una versión ‘swap’ temporal en caso de que el editor falle, lo que evita que se pierda todo el contenido”, explicó Morrow.
“Se hizo evidente que los atacantes estaban aprovechando un archivo de intercambio para mantener el malware presente en el servidor y evadir los métodos normales de detección”.
Aunque actualmente no está claro cómo se obtuvo el acceso inicial en este caso, se sospecha que implicó el uso de SSH o alguna otra sesión de terminal.
La revelación llega cuando cuentas de usuario administrador comprometidas en sitios de WordPress se están utilizando para instalar un complemento malicioso que se hace pasar por el complemento legítimo de Wordfence, pero viene con capacidades para crear usuarios administradores no autorizados y deshabilitar Wordfence mientras da una falsa impresión de que todo está funcionando como se esperaba.
“Para que el complemento malicioso se haya colocado en el sitio web en primer lugar, el sitio web ya debería haber sido comprometido, pero este malware definitivamente podría servir como un vector de reinfección”, dijo el investigador de seguridad Ben Martin. dicho.
“El código malicioso solo funciona en páginas de la interfaz de administración de WordPress cuya URL contiene la palabra ‘Wordfence’ (páginas de configuración del complemento de Wordfence)”.
Se recomienda a los propietarios de sitios que restrinjan el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP confiables, así como que se aseguren de que los sistemas de administración de contenido y los complementos estén actualizados.
También se recomienda a los usuarios habilitar la autenticación de dos factores (2FA), utilizar un firewall para bloquear bots y aplicar wp-config.php adicional. Implementaciones de seguridad como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS.