Agentes de ameaças foram observados usando arquivos de troca em websites comprometidos para ocultar um skimmer de cartão de crédito persistente e coletar informações de pagamento.
A técnica furtiva, observada pela Sucuri na página de checkout de um website de comércio eletrônico Magento, permitiu que o malware sobrevivesse a várias tentativas de limpeza, disse a empresa.
O skimmer foi projetado para capturar todos os dados no formulário de cartão de crédito no website e exfiltrar os detalhes para um domínio controlado pelo invasor chamado “amazon-analytic(.)com”, que foi registrado em fevereiro de 2024.
“Observe o uso do nome da marca; essa tática de alavancar produtos e serviços populares em nomes de domínio é frequentemente usada por criminosos na tentativa de evitar a detecção”, disse o pesquisador de segurança Matt Morrow.
Este é apenas um dos muitos métodos de evasão de defesa empregados pelo agente da ameaça, que também inclui o uso de arquivos de troca (“bootstrap.php-swapme”) para carregar o código malicioso, mantendo o arquivo authentic (“bootstrap.php”) intacto e livre de malware.
“Quando os arquivos são editados diretamente by way of SSH, o servidor cria uma versão 'swap' temporária para o caso de o editor travar, o que evita que todo o conteúdo seja perdido”, explicou Morrow.
“Ficou evidente que os invasores estavam aproveitando um arquivo de troca para manter o malware presente no servidor e escapar dos métodos normais de detecção.”
Embora atualmente não esteja claro como o acesso inicial foi obtido neste caso, suspeita-se que tenha envolvido o uso de SSH ou alguma outra sessão de terminal.
A divulgação ocorre quando contas de usuários administradores comprometidas em websites WordPress estão sendo usadas para instalar um plugin malicioso que se disfarça como o plugin legítimo do Wordfence, mas vem com recursos para criar usuários administradores desonestos e desabilitar o Wordfence, dando uma falsa impressão de que tudo está funcionando conforme o esperado.
“Para que o plugin malicioso tenha sido colocado no website em primeiro lugar, o website já teria que ter sido comprometido — mas esse malware definitivamente poderia servir como um vetor de reinfecção”, disse o pesquisador de segurança Ben Martin.
“O código malicioso só funciona em páginas da interface de administração do WordPress cujo URL contém a palavra 'Wordfence' (páginas de configuração do plugin Wordfence).”
Os proprietários de websites são aconselhados a restringir o uso de protocolos comuns como FTP, sFTP e SSH a endereços IP confiáveis, bem como garantir que os sistemas de gerenciamento de conteúdo e plug-ins estejam atualizados.
Também é recomendado que os usuários habilitem a autenticação de dois fatores (2FA), usem um firewall para bloquear bots e imponham implementações de segurança adicionais do wp-config.php, como DISALLOW_FILE_EDIT e DISALLOW_FILE_MODS.