Smilodon Webshell запускает кампанию скимминга, похожую на Magecart
Банда Magecart вдохновила сотни киберпреступников на использование веб-скиммеров для своих злонамеренных атак. Хорошая новость заключается в том, что эти кампании не так широко распространены - злоумышленникам, которые хотят принять участие, необходимо сначала взломать веб-сайт или сервер онлайн-поставщика, а затем развернуть вредоносный код, ответственный за атаку с кражей карт. Одна из последних кампаний такого рода проводится с использованием новой веб-оболочки под названием Smilodon или Megalodon. Smilodon Webshell был обнаружен на веб-сайтах электронной коммерции на основе Magento, а исследователи также обнаружили вредоносный код, предназначенный для перехвата платежных данных клиентов.
Важно отметить, что использование Smilodon Webshell является предшественником атаки с просмотром карт. Эта веб-оболочка поддерживает множество дополнительных команд, которые позволят злоумышленнику получить полный контроль над скомпрометированным веб-сервером. Конечно, просто уничтожать сайт невыгодно - поэтому злоумышленники используют вредоносный код JavaScript для кражи данных у клиентов.
Плохая новость о недавней атаке со снятием карт с использованием Smilodon Webshell заключается в том, что злоумышленники применили новый метод загрузки кода JavaScript на взломанный веб-сайт. Это сделано для того, чтобы помочь им избежать программ безопасности, которые могут заблокировать подозрительное соединение / страницу. К счастью, их эксперимент не так успешен, и пользователи, полагающиеся на надежное антивирусное программное обеспечение, скорее всего, увидят предупреждение при посещении скомпрометированной веб-страницы, которая выглядит нормально, но ведет себя ненормально в фоновом режиме.
Атаки с использованием веб-скимминга исключительно опасны, поскольку данные клиентов украдены, а администраторы магазинов могут и не подозревать, что их сервер был взломан. Из-за этого такие атаки часто могут оставаться незамеченными в течение нескольких месяцев, если администраторы веб-сайта электронной коммерции не примут необходимых мер для выявления и перехвата таких атак. Другой пример подобной атаки можно найти в Magecart Malware scrapped Card Data for 8 Months From British Outdoor Clothing Retailer .