Des acteurs malveillants ont été observés en train d’utiliser des fichiers d’échange sur des sites Web compromis pour dissimuler un écrémeur de carte de crédit persistant et récolter des informations de paiement.
La technique sournoise, observée par Sucuri sur la page de paiement d’un site de commerce électronique Magento, a permis au malware de survivre à plusieurs tentatives de nettoyage, a déclaré la société.
Le skimmer est conçu pour capturer toutes les données dans le formulaire de carte de crédit sur le site Web et exfiltrer les détails vers un domaine contrôlé par l’attaquant nommé « amazon-analytics ».[.]com », qui a été enregistrée en février 2024.
« Notez l’utilisation du nom de marque ; cette tactique consistant à exploiter des produits et services populaires dans les noms de domaine est souvent utilisée par des acteurs malveillants pour tenter d’échapper à la détection », a déclaré le chercheur en sécurité Matt Morrow. dit.
Il s’agit là d’une des nombreuses méthodes d’évasion de défense employées par l’acteur de la menace, qui inclut également l’utilisation de fichiers d’échange (« bootstrap.php-swapme ») pour charger le code malveillant tout en gardant le fichier d’origine (« bootstrap.php ») intact et exempt de logiciels malveillants.
« Lorsque les fichiers sont modifiés directement via SSH, le serveur crée une version « swap » temporaire au cas où l’éditeur plante, ce qui empêche la perte de l’intégralité du contenu », a expliqué Morrow.
« Il est devenu évident que les attaquants utilisaient un fichier d’échange pour maintenir le logiciel malveillant présent sur le serveur et échapper aux méthodes normales de détection. »
Bien qu’il ne soit pas actuellement clair comment l’accès initial a été obtenu dans ce cas, on soupçonne qu’il impliquait l’utilisation de SSH ou d’une autre session de terminal.
La divulgation survient alors que des comptes d’administrateur compromis sur des sites WordPress sont utilisés pour installer un plugin malveillant qui se fait passer pour le plugin Wordfence légitime, mais qui est doté de capacités permettant de créer des utilisateurs administrateurs malveillants et de désactiver Wordfence tout en donnant une fausse impression que tout fonctionne comme prévu.
« Pour que le plugin malveillant soit placé sur le site Web en premier lieu, le site Web aurait déjà dû être compromis – mais ce logiciel malveillant pourrait certainement servir de vecteur de réinfection », a déclaré le chercheur en sécurité Ben Martin. dit.
« Le code malveillant ne fonctionne que sur les pages de l’interface d’administration de WordPress dont l’URL contient le mot « Wordfence » (pages de configuration du plugin Wordfence). »
Il est conseillé aux propriétaires de sites de limiter l’utilisation des protocoles courants tels que FTP, sFTP et SSH aux adresses IP de confiance, ainsi que de s’assurer que les systèmes de gestion de contenu et les plugins sont à jour.
Il est également recommandé aux utilisateurs d’activer l’authentification à deux facteurs (2FA), d’utiliser un pare-feu pour bloquer les robots et d’appliquer des paramètres wp-config.php supplémentaires. implémentations de sécurité tels que DISALLOW_FILE_EDIT et DISALLOW_FILE_MODS.