مواقع Magento المستهدفة باستخدام مقشدة بطاقة الائتمان الخادعة عبر ملفات المبادلة

23 يوليو 2024غرفة الأخباركشف التهديدات / أمن الموقع

وقد لوحظ أن الجهات الفاعلة في مجال التهديد تستخدم ملفات المبادلة في مواقع الويب المخترقة لإخفاء كاشطة بطاقات الائتمان المستمرة وجمع معلومات الدفع.

وقالت الشركة إن التقنية الخادعة، التي لاحظتها شركة Sucuri على صفحة الدفع بموقع Magento للتجارة الإلكترونية، سمحت للبرامج الضارة بالبقاء على قيد الحياة بعدة محاولات تنظيف.

تم تصميم الكاشطة لالتقاط جميع البيانات في نموذج بطاقة الائتمان على موقع الويب ونقل التفاصيل إلى مجال يتحكم فيه المهاجم يسمى “amazon-analytic”[.]com”، والذي تم تسجيله في فبراير 2024.

“لاحظ استخدام اسم العلامة التجارية؛ هذا التكتيك المتمثل في الاستفادة من المنتجات والخدمات الشائعة في أسماء النطاقات غالبًا ما يستخدمه ممثلون سيئون في محاولة لتجنب الكشف،” الباحث الأمني ​​مات مورو قال.

هذه مجرد واحدة من أساليب التهرب الدفاعي العديدة التي يستخدمها ممثل التهديد، والتي تتضمن أيضًا استخدام ملفات المبادلة (“bootstrap.php-swapme”) لتحميل التعليمات البرمجية الضارة مع الحفاظ على الملف الأصلي (“bootstrap.php”) سليمًا. وخالية من البرامج الضارة.

وأوضح مورو: “عندما يتم تحرير الملفات مباشرة عبر SSH، سيقوم الخادم بإنشاء نسخة “مبادلة” مؤقتة في حالة تعطل المحرر، مما يمنع فقدان المحتويات بالكامل”.

“أصبح من الواضح أن المهاجمين كانوا يستفيدون من ملف مبادلة لإبقاء البرامج الضارة موجودة على الخادم والتهرب من طرق الاكتشاف العادية.”

على الرغم من أنه ليس من الواضح حاليًا كيف تم الحصول على الوصول الأولي في هذه الحالة، إلا أنه يشتبه في أنه تضمن استخدام SSH أو بعض الجلسات الطرفية الأخرى.

يأتي هذا الكشف في الوقت الذي يتم فيه استخدام حسابات المستخدمين الإداريين المخترقة على مواقع WordPress لتثبيت مكون إضافي ضار يتنكر في شكل مكون إضافي شرعي لـ Wordfence، ولكنه يأتي مزودًا بقدرات لإنشاء مستخدمين إداريين محتالين وتعطيل Wordfence مع إعطاء انطباع خاطئ بأن كل شيء يعمل كما هو متوقع. .

“من أجل وضع البرنامج الإضافي الخبيث على موقع الويب في المقام الأول، كان من المفترض أن يكون موقع الويب قد تم اختراقه بالفعل – ولكن من المؤكد أن هذه البرامج الضارة يمكن أن تكون بمثابة ناقل للعدوى مرة أخرى،” الباحث الأمني ​​بن مارتن قال.

“تعمل التعليمات البرمجية الضارة فقط على صفحات واجهة إدارة WordPress التي يحتوي عنوان URL الخاص بها على كلمة “Wordfence” بداخلها (صفحات تكوين البرنامج الإضافي لـ Wordfence).”

يُنصح مالكو المواقع بتقييد استخدام البروتوكولات الشائعة مثل FTP وsFTP وSSH لعناوين IP الموثوقة، بالإضافة إلى التأكد من تحديث أنظمة إدارة المحتوى والمكونات الإضافية.

يُنصح المستخدمون أيضًا بتمكين المصادقة الثنائية (2FA)، واستخدام جدار الحماية لحظر الروبوتات، وفرض wp-config.php الإضافي. تطبيقات الأمن مثل DISALLOW_FILE_EDIT وDISALLOW_FILE_MODS.