Los actores de amenazas han sido vistos utilizando archivos de intercambio en sitios web comprometidos para ocultar un skimmer persistente de tarjetas de crédito y cosechar información de pago.
La empresa Sucuri observó esta astuta técnica en la página de pago de un sitio de comercio electrónico Magento, lo que permitió que el malware sobreviviera a múltiples intentos de limpieza.
El skimmer está diseñado para capturar todos los datos del formulario de tarjeta de crédito en el sitio web y extraer los detalles a un dominio controlado por un atacante llamado «amazon-analytic[.]com», registrado en febrero de 2024.
Según el investigador de seguridad Matt Morrow, esta técnica destaca el uso del nombre de la marca, que es frecuentemente utilizado por actores malintencionados para evadir la detección.
El uso de archivos de intercambio («bootstrap.php-swapme») es otro método empleado por el actor de amenazas para cargar el código malicioso manteniendo el archivo original («bootstrap.php») intacto y libre de malware.
Morrow explicó que este enfoque evita la pérdida de contenido de los archivos cuando son editados directamente a través de ssh.
La sospecha es que el acceso inicial pudo haber involucrado el uso de SSH u otra sesión de terminal, aunque esto no está claro actualmente.
El descubrimiento llega en un momento en que cuentas de usuario de administrador comprometidas en sitios de WordPress están siendo utilizadas para instalar un plugin malicioso que se hace pasar por el legítimo plugin Wordfence.
El investigador de seguridad Ben Martin señaló que este malware podría servir como un vector de reinfección en los sitios web ya comprometidos.
Se recomienda a los propietarios de sitios restringir el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP de confianza, así como asegurarse de que los sistemas de gestión de contenido y los plugins estén actualizados.
Además, se insta a los usuarios a habilitar la autenticación de dos factores (2FA), usar un cortafuegos para bloquear bots y aplicar implementaciones de seguridad adicionales en el archivo wp-config.php, como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS.
Vía The Hacker News
La entrada Sitios de Magento afectados por un ingenioso dispositivo de robo de tarjetas de crédito a través de archivos de intercambio se publicó primero en News Bender Daily.
