Magecart誤將被黑商店的列表泄露了
被網路攻擊組織入侵的數十家在線商店的列表被無意中泄露,泄露者是一個被用於在受攻擊的電子商務網站上部署隱形遠程訪問木馬(RAT)的dropper。
威脅者使用此RAT來保持持續地獲得對被黑在線商店伺服器的訪問許可權。
一旦他們連接到商店,攻擊者就會部署信用卡skimmer腳本,這些腳本會在數字skimming攻擊(也稱為Magecart)中竊取和過濾客戶的個人和財務數據。
網上商店伺服器中的Sleepy rats
安全公司Sansec的研究人員致力於保護電子商務商店免受Web skimming攻擊的侵害。該公司表示,該惡意軟體在PHP-based的惡意軟體dropper的幫助下,以64位ELF可執行文件的形式發送。
為了逃避檢測和妨礙分析,未命名的RAT會偽裝成DNS或SSH伺服器daemon,這樣它在伺服器的進程列表中就不會非常顯眼。
該惡意軟體也幾乎全天都處於睡眠模式,每天凌晨7點才會運行一次,以連接到其命令和控制伺服器並請求命令。
Sansec從幾台受攻擊的伺服器中收集的RAT樣本已經由針對Ubuntu和Red Hat Linux的這些攻擊背後的攻擊者進行了彙編。
「或者,也可能是因為RAT源代碼是公開可用的,並且有可能在暗網市場上出售。」
RAT dropper泄露了列表
儘管他們使用了非常先進的RAT惡意軟體作為被黑客入侵的電子商務伺服器的後門程序,但Magecart團伙還是犯了一個很低級的錯誤,即dropper代碼中誤加了一個被黑客入侵的在線商店的列表。
Sansec劫持了攻擊者的RAT dropper並發現,除了用於解析多個Magecart腳本部署設置的常用惡意代碼之外,它還包含41個被攻擊商店的列表。
這或許是因為,dropper是由一個對PHP不太熟悉的人編寫的,因為它「使用共享內存塊,這在PHP中很少使用,反而在C程序中更常見」。
Sansec還聯繫了Magecart惡意軟體dropper代碼中包含的在線商店,並告訴他們伺服器已被攻擊。
在過去的幾個月中,Sansec研究人員發現了多個使用更新的策略來保持持續性攻擊和逃避檢測的Magecart skimmer和惡意軟體樣本。
有一個在三個不同的商店中都發現的信用卡竊取腳本,在BleepingComputer上周報告了這一消息時,該腳本仍在使用CSS代碼隱藏在被黑客攻擊的網站上,它躲避了自動安全掃描程序或手動安全代碼審核等傳統方法的檢查。
他們最近還發現了能夠偽裝成SVG社交媒體按鈕的網路skimming惡意軟體,以及一個幾乎不可能消滅的帶有持久後門的信用卡竊取者。
參考及來源:https://www.bleepingcomputer.com/news/security/stealthy-magecart-malware-mistakenly-leaks-list-of-hacked-stores/
