Smilodon Webshell

Les attaques par effraction Web sont restées un danger important pour les commerçants en ligne et les acheteurs. L'écrémage consiste à compromettre la page de paiement d'un site Web en y injectant une charge utile de malware. Les cybercriminels peuvent alors intercepter et obtenir des informations sensibles de paiement ou de carte de crédit / débit et les utiliser pour effectuer diverses fraudes en ligne.

Un nouveau shell Web d'écrémage nommé Smilodon (ou Megalodon) a été détecté par les chercheurs d'Infosec. Certaines preuves indiquent que Smilodon est déployé par le Magecart Group 12, un collectif de hackers qui serait responsable des campagnes d'attaque d'écrémage de Magento 1 qui ont eu lieu l'automne dernier. Le malware est d'abord déguisé en un fichier nommé 'Magento.png' qui essaie de se passer pour une image / png. Cependant, il manque le format PNG approprié. La manière exacte dont le shell Web skimmer est injecté dans les sites compromis consiste à modifier les balises d'icône de raccourci avec un chemin vers le faux fichier PNG. Caché à l'intérieur, il y a un shell Web PHP, un type de malware populaire qui permet aux acteurs de la menace d'obtenir et de maintenir un accès et une administration à distance.

La fonctionnalité menaçante du Smilodon Web Shell comprend la récupération de données à partir d'un hôte externe, un code corrompu qui se concentre spécifiquement sur l'écrémage des cartes de crédit, la collecte des informations d'identification des utilisateurs et l'exfiltration des données. La menace présente également un écart par rapport à la technique d'écrémage couramment utilisée qui appelle une ressource JavaScript externe. Chaque fois qu'un client visite la boutique en ligne compromise, le navigateur envoie une demande au domaine où le logiciel malveillant skimmer est hébergé. Une méthode efficace pour bloquer cette opération consiste à utiliser une approche de base de données de domaine / IP.

Cependant, le shell Web Smilodon a choisi d'injecter du code dans le site Web du marchand de manière dynamique. La demande adressée au domaine dangereux porteur de la menace de skimmer est également passée du client au serveur. Cela rend l'approche de blocage de base de données pratiquement inutilisable, car elle nécessiterait la mise sur liste noire de tous les magasins compromis.