Atores maliciosos foram observados utilizando arquivos de swap em sites comprometidos para ocultar um skimmer de cartões de crédito persistente e coletar informações de pagamento.
A técnica sorrateira, observada pela Sucuri na página de checkout de um site e-commerce Magento, permitiu que o malware sobrevivesse a várias tentativas de limpeza, disse a empresa.
O skimmer é projetado para capturar todos os dados inseridos no formulário de cartão de crédito no site e exfiltrar os detalhes para um domínio controlado pelo atacante denominado "amazon-analytic[.]com", que foi registrado em fevereiro de 2024.
"Note o uso do nome da marca; essa tática de aproveitar produtos e serviços populares em nomes de domínio é frequentemente utilizada por atores mal-intencionados numa tentativa de evadir a detecção," disse o pesquisador de segurança Matt Morrow.
Isso é apenas um dos muitos métodos de evasão de defesa empregados pelo ator de ameaça, que também inclui o uso de arquivos de swap ("bootstrap.php-swapme") para carregar o código malicioso mantendo o arquivo original ("bootstrap.php") intacto e livre de malware.
"Quando arquivos são editados diretamente via SSH, o servidor cria uma versão 'swap' temporária para o caso de o editor travar, o que impede que todo o conteúdo seja perdido," Morrow explicou.
"Ficou evidente que os atacantes estavam se aproveitando de um arquivo de swap para manter o malware presente no servidor e evadir métodos normais de detecção."
Embora atualmente não esteja claro como o acesso inicial foi obtido neste caso, suspeita-se que tenha envolvido o uso de SSH ou alguma outra sessão de terminal.
A divulgação ocorre enquanto contas de usuário administrador comprometidas em sites WordPress estão sendo usadas para instalar um plugin malicioso que se disfarça como o plugin legítimo Wordfence, mas vem com capacidades para criar usuários administradores ilegítimos e desabilitar o Wordfence, dando a falsa impressão de que tudo está funcionando como esperado.
"Para que o plugin malicioso tivesse sido colocado no site inicialmente, o website já teria que ter sido comprometido — mas esse malware poderia definitivamente servir como um vetor de reinfecção," o pesquisador de segurança Ben Martin disse.
O código malicioso só funciona em páginas da interface de administração do WordPress cuja URL contém a palavra 'Wordfence' nelas (páginas de configuração do plugin Wordfence).
Recomenda-se que os proprietários de sites restrinjam o uso de protocolos comuns como FTP, sFTP e SSH a endereços IP confiáveis, bem como garantam que os sistemas de gerenciamento de conteúdo e plugins estejam atualizados.
Também é recomendado habilitar autenticação de dois fatores (2FA), usar um firewall para bloquear bots e implementar seguranças adicionais em wp-config.php, como DISALLOW_FILE_EDIT e DISALLOW_FILE_MODS.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...