Smilodon Webshell alimenta una campagna di scrematura simile a un Magecart

La banda di Magecart ha ispirato centinaia di criminali informatici a impiegare skimmer basati sul Web nei loro attacchi dannosi. La buona notizia è che queste campagne non sono così diffuse: gli aggressori che vogliono essere coinvolti devono prima compromettere il sito Web o il server di un fornitore online e quindi implementare il codice dannoso responsabile dell'attacco per furto di carte. Una delle ultime campagne di questo tipo viene eseguita con l'uso di una nuova webshell chiamata Smilodon o Megalodon. Lo Smilodon Webshell è stato trovato installato su siti Web di e-commerce basati su Magento e i ricercatori hanno anche scoperto un codice dannoso destinato a dirottare i dati di pagamento dei clienti.

È importante notare che l'utilizzo di Smilodon Webshell è un predecessore dell'attacco di scrematura delle carte. Questa webshell supporta molti comandi aggiuntivi, che consentirebbero all'autore dell'attacco di assumere il controllo completo del server Web compromesso. Ovviamente, distruggere semplicemente il sito Web non è redditizio: questo è il motivo per cui i criminali utilizzano codice JavaScript dannoso per rubare dati ai clienti.

La cattiva notizia del recente attacco di carte skimming che ha coinvolto Smilodon Webshell è che gli aggressori hanno adottato un nuovo metodo per caricare il codice JavaScript nel sito Web compromesso. Questo ha lo scopo di aiutarli a schivare il software di sicurezza che bloccherebbe la connessione / pagina sospetta. Per fortuna, il loro esperimento non ha avuto successo e gli utenti che si affidano a un affidabile software anti-malware potrebbero visualizzare un avviso quando visitano una pagina Web compromessa che sembra normale ma si comporta in modo anomalo in background.

Gli attacchi di skimming basati sul Web sono eccezionalmente pericolosi poiché i clienti sono quelli a cui vengono rubati i dati, mentre gli amministratori del negozio potrebbero non avere la minima idea che il loro server sia stato compromesso. Per questo motivo, tali attacchi possono spesso passare inosservati per mesi nel caso in cui gli amministratori del sito eCommerce non adottino le misure necessarie per identificare e intercettare tali attacchi. Un altro esempio di un attacco simile può essere trovato su Magecart Malware Scraped Card Data for 8 months from a British Outdoor Clothing Retailer .