Smilodon Webshell napędza podobną do Magecart kampanię przeglądową

Gang Magecart zainspirował setki cyberprzestępców do wykorzystania internetowych skimmerów w swoich złośliwych atakach. Dobra wiadomość jest taka, że kampanie te nie są tak szeroko rozpowszechnione - osoby atakujące, które chcą się w nie zaangażować, muszą najpierw przejąć witrynę internetową lub serwer dostawcy internetowego, a następnie wdrożyć złośliwy kod odpowiedzialny za atak polegający na kradzieży kart. Jedna z najnowszych kampanii tego typu realizowana jest z wykorzystaniem nowej webshellu o nazwie Smilodon lub Megalodon. Smilodon Webshell został znaleziony w witrynach eCommerce opartych na Magento, a badacze odkryli również złośliwy kod mający na celu przejęcie danych dotyczących płatności od klientów.

Należy zauważyć, że użycie Smilodon Webshell jest poprzednikiem ataku typu card skimming. Ta powłoka internetowa obsługuje wiele dodatkowych poleceń, które umożliwiłyby atakującemu przejęcie pełnej kontroli nad zaatakowanym serwerem internetowym. Oczywiście zwykłe zniszczenie strony internetowej nie jest opłacalne - dlatego przestępcy wykorzystują złośliwy kod JavaScript do kradzieży danych klientów.

Zła wiadomość dotycząca niedawnego ataku typu card-skimming obejmującego Smilodon Webshell jest taka, że osoby atakujące przyjęły nową metodę ładowania kodu JavaScript w zaatakowanej witrynie internetowej. Ma to pomóc im uniknąć oprogramowania zabezpieczającego, które blokowałoby podejrzane połączenie / stronę. Na szczęście ich eksperyment nie powiódł się, a użytkownicy polegający na renomowanym oprogramowaniu chroniącym przed złośliwym oprogramowaniem mogą zobaczyć ostrzeżenie, gdy odwiedzą zaatakowaną stronę internetową, która wygląda normalnie, ale zachowuje się nienormalnie w tle.

Ataki typu „skimming” w sieci WWW są wyjątkowo niebezpieczne, ponieważ to klienci są narażeni na kradzież danych, a administratorzy sklepów mogą nie mieć pojęcia, że ich serwer został przejęty. Z tego powodu takie ataki mogą często pozostać niezauważone przez wiele miesięcy, w przypadku gdy administratorzy witryny eCommerce nie podejmą niezbędnych środków w celu zidentyfikowania i przechwycenia takich ataków. Inny przykład podobnego ataku można znaleźć w witrynie Magecart Malware Scraped Card Data for 8 Months From a British Outdoor Clothing Retailer .