Uočeni su hakeri kako koriste swap datoteke na ugroženim web stranicama kako bi sakrili uporni skimmer kreditnih kartica i prikupili informacije o plaćanju.
Tajna tehnika, koju je Sucuri uočio na stranici za naplatu Magento e-trgovine, omogućila je zlonamjernom softveru da preživi više pokušaja čišćenja, saopštila je kompanija.
Skimer je dizajniran da uhvati sve podatke u obrazac kreditne kartice na web stranici i eksfiltrira detalje na domenu pod kontrolom napadača pod nazivom “amazon-analytic[.]com”, koja je registrirana u februaru 2024.
“Obratite pažnju na upotrebu imena brenda; ovu taktiku iskorištavanja popularnih proizvoda i usluga u nazivima domena često koriste loši hakeri u pokušaju da izbjegnu otkrivanje”, rekao je istraživač sigurnosti Matt Morrow .
Ovo je samo jedna od mnogih metoda izbjegavanja odbrane koje koristi haker, a koji takođe uključuje korištenje swap datoteka (“bootstrap.php-swapme”) za učitavanje zlonamjernog koda, a da se originalni fajl (“bootstrap.php”) zadrži netaknut i bez zlonamjernog softvera.
“Kada se fajlovi uređuju direktno preko SSH-a, server će kreirati privremenu ‘swap’ verziju u slučaju da se uređivač sruši, što sprečava gubitak čitavog sadržaja”, objasnio je Morrow.
“Postalo je očigledno da su napadači koristili swap datoteku kako bi zadržali zlonamjerni softver prisutnim na serveru i izbjegli normalne metode otkrivanja.”
Iako trenutno nije jasno kako je došlo do početnog pristupa u ovom slučaju, sumnja se da je uključivao korištenje SSH ili neke druge terminalske sesije.
Otkrivanje stiže pošto se kompromitovani administratorski korisnički nalozi na WordPress stranicama koriste za instaliranje zlonamjernog dodatka koji se maskira kao legitimni dodatak za Wordfence, ali dolazi s mogućnostima stvaranja lažnih administratorskih korisnika i onemogućavanja Wordfencea, ostavljajući lažan utisak da sve radi kako se očekuje .
“Da bi zlonamjerni dodatak uopće bio postavljen na web stranicu, web stranica bi već morala biti kompromitirana – ali ovaj zlonamjerni softver bi definitivno mogao poslužiti kao vektor ponovne infekcije”, rekao je istraživač sigurnosti Ben Martin .
“Zlonamjerni kod radi samo na stranicama WordPress administratorskog sučelja čiji URL sadrži riječ ‘Wordfence’ na njima (stranice za konfiguraciju dodatka Wordfence).”
Vlasnicima stranica se savjetuje da ograniče korištenje uobičajenih protokola kao što su FTP, sFTP i SSH na pouzdane IP adrese, kao i da osiguraju da su sistemi za upravljanje sadržajem i dodaci ažurirani.
Korisnicima se takođe preporučuje da omoguće dvofaktorsku autentifikaciju (2FA), koriste zaštitni zid za blokiranje botova i nametnu dodatne sigurnosne implementacije wp-config.php kao što su DISALLOW_FILE_EDIT i DISALLOW_FILE_MODS.
Izvor:The Hacker News