Peretas Magecart Sekarang sembunyikan Backdoor Berbasis PHP di Favicons Situs Web

  • Whatsapp
Peretas Magecart Sekarang sembunyikan Backdoor Berbasis PHP di Favicons Situs Web

Kelompok kejahatan dunia maya mendistribusikan web shell PHP berbahaya yang disamarkan sebagai favicon untuk mempertahankan akses jarak jauh ke server yang disusupi dan menyuntikkan skimmer JavaScript ke platform belanja online dengan tujuan mencuri informasi keuangan dari penggunanya.

“Kerang web yang dikenal sebagai Smilodon atau Megalodon digunakan untuk memuat kode skimming JavaScript secara dinamis melalui permintaan sisi server ke toko online,” Malwarebytes Jérôme Segura berkata dalam tulisan Kamis. “Teknik ini menarik karena sebagian besar alat keamanan sisi klien tidak akan dapat mendeteksi atau memblokir skimmer.”

Bacaan Lainnya

Menyuntikkan skimmer web di situs web e-niaga untuk mencuri detail kartu kredit adalah modus operandi Magecart yang telah dicoba dan diuji, konsorsium kelompok peretas berbeda yang menargetkan sistem keranjang belanja online. Juga dikenal sebagai serangan formjacking, skimmer mengambil bentuk kode JavaScript yang dimasukkan oleh operator secara diam-diam ke situs web e-commerce, sering kali di halaman pembayaran, dengan maksud untuk menangkap detail kartu pelanggan secara real-time dan mengirimkannya ke remote server.

auditor kata sandi

Meskipun skimmer suntik biasanya bekerja dengan membuat permintaan sisi klien ke sumber daya JavaScript eksternal yang dihosting di domain yang dikendalikan penyerang saat pelanggan mengunjungi toko online yang bersangkutan, serangan terbaru sedikit berbeda karena kode skimmer dimasukkan ke dalam situs pedagang secara dinamis di sisi server.

Malware shell web berbasis PHP berfungsi sebagai favicon (“Magento.png”), dengan malware dimasukkan ke situs yang disusupi dengan merusak ikon pintasan tag dalam kode HTML untuk menunjuk ke file gambar PNG palsu. Shell web ini, pada gilirannya, dikonfigurasi untuk mengambil muatan tahap berikutnya dari host eksternal, skimmer kartu kredit yang memiliki kesamaan dengan varian lain yang digunakan dalam serangan Cardbleed September lalu, menunjukkan bahwa pelaku ancaman memodifikasi perangkat mereka setelah pengungkapan publik.

Malwarebytes mengaitkan kampanye terbaru dengan Grup Magcart 12 berdasarkan tumpang tindih dalam taktik, teknik, dan prosedur yang digunakan, menambahkan “nama domain terbaru yang kami temukan (zolo[.]pw) kebetulan di-host di alamat IP yang sama (217.12.204[.]185) sebagai recaptcha-in[.]pw dan google-statik[.]pw, domain yang sebelumnya terkait dengan Magecart Group 12.”

Beroperasi dengan tujuan utama menangkap dan mengekstrak data pembayaran, aktor Magecart telah merangkul berbagai vektor serangan selama beberapa bulan terakhir untuk tetap berada di bawah radar, menghindari deteksi, dan menjarah data. Dari menyembunyikan kode pencuri kartu di dalam metadata gambar dan melakukan serangan homograf IDN hingga menanam skimmer web yang disembunyikan di dalam file favicon situs web hingga menggunakan Google Analytics dan Telegram sebagai saluran eksfiltrasi, sindikat kejahatan dunia maya telah meningkatkan upayanya untuk menyusup ke toko online.

Skimming telah menjadi praktik yang begitu umum dan menguntungkan sehingga Lazarus Group, sekelompok peretas yang disponsori negara yang berafiliasi dengan Korea Utara, menyerang situs web yang menerima pembayaran cryptocurrency dengan pengendus JavaScript berbahaya untuk mencuri bitcoin dan ether dalam kampanye baru yang disebut “Pengubah BTC” yang dimulai awal tahun lalu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *