Webshell de Smilodon

Los ataques de skimming web siguen siendo un peligro importante tanto para los comerciantes como para los compradores en línea. El skimming implica comprometer la página de pago de un sitio web al inyectarle una carga útil de malware. Los ciberdelincuentes pueden interceptar y obtener información confidencial de pago o tarjeta de crédito / débito y utilizarla para realizar varios fraudes en línea.

Los investigadores de infosec han detectado un nuevo caparazón web de skimming llamado Smilodon (o Megalodon). Cierta evidencia apunta a que Smilodon fue desplegado por Magecart Group 12, un colectivo de hackers que se cree que es responsable de las campañas de ataque de skimming de Magento 1 que tuvieron lugar el otoño pasado. El malware se disfraza primero como un archivo llamado 'Magento.png' que intenta hacerse pasar por una imagen / png. Sin embargo, carece del formato PNG adecuado. La forma exacta en que se inyecta el shell web skimmer en los sitios comprometidos implica editar las etiquetas del icono de acceso directo con una ruta al archivo PNG falso. Escondido en su interior hay un shell web PHP, un tipo de malware popular que permite a los actores de amenazas lograr y mantener el acceso y la administración remotos.

La funcionalidad amenazante del shell web Smilodon incluye la recuperación de datos de un host externo, un código corrupto que se enfoca específicamente en la extracción de tarjetas de crédito, la recolección de credenciales de usuario y la exfiltración de datos. La amenaza también exhibe una desviación de la técnica de skimming comúnmente utilizada que llama a un recurso JavaScript externo. Cada vez que un cliente visita la tienda en línea comprometida, el navegador enviará una solicitud al dominio donde está alojado el malware skimmer. Un método eficaz para bloquear esta operación es utilizar un enfoque de base de datos de dominio / IP.

Sin embargo, el shell web de Smilodon ha optado por inyectar código en el sitio web del comerciante de forma dinámica. La solicitud hacia el dominio inseguro que lleva la amenaza del skimmer también se ha trasladado del cliente al servidor. Hacerlo hace que el método de bloqueo de la base de datos sea prácticamente inutilizable, ya que requeriría poner en una lista negra todas las tiendas comprometidas.