被網(wǎng)絡(luò)攻擊組織入侵的數(shù)十家在線商店的列表被無(wú)意中泄露�����,泄露者是一個(gè)被用于在受攻擊的電子商務(wù)網(wǎng)站上部署隱形遠(yuǎn)程訪問(wèn)木馬(RAT)的dropper�����。
成都創(chuàng)新互聯(lián)公司長(zhǎng)期為近千家客戶(hù)提供的網(wǎng)站建設(shè)服務(wù)���,團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年����,關(guān)注不同地域、不同群體�����,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)���;打造開(kāi)放共贏平臺(tái)�,與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境���。為港口企業(yè)提供專(zhuān)業(yè)的網(wǎng)站設(shè)計(jì)制作�����、網(wǎng)站設(shè)計(jì)�,港口網(wǎng)站改版等技術(shù)服務(wù)�。擁有10年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。
威脅者使用此RAT來(lái)保持持續(xù)地獲得對(duì)被黑在線商店服務(wù)器的訪問(wèn)權(quán)限�。
一旦他們連接到商店,攻擊者就會(huì)部署信用卡skimmer腳本�,這些腳本會(huì)在數(shù)字skimming攻擊(也稱(chēng)為Magecart)中竊取和過(guò)濾客戶(hù)的個(gè)人和財(cái)務(wù)數(shù)據(jù)。
網(wǎng)上商店服務(wù)器中的Sleepy rats
安全公司Sansec的研究人員致力于保護(hù)電子商務(wù)商店免受Web skimming攻擊的侵害��。該公司表示,該惡意軟件在PHP-based的惡意軟件dropper的幫助下����,以64位ELF可執(zhí)行文件的形式發(fā)送���。
為了逃避檢測(cè)和妨礙分析����,未命名的RAT會(huì)偽裝成DNS或SSH服務(wù)器daemon�,這樣它在服務(wù)器的進(jìn)程列表中就不會(huì)非常顯眼。
該惡意軟件也幾乎全天都處于睡眠模式��,每天凌晨7點(diǎn)才會(huì)運(yùn)行一次���,以連接到其命令和控制服務(wù)器并請(qǐng)求命令�。
Sansec從幾臺(tái)受攻擊的服務(wù)器中收集的RAT樣本已經(jīng)由針對(duì)Ubuntu和Red Hat Linux的這些攻擊背后的攻擊者進(jìn)行了匯編���。
Sansec在今天早些時(shí)候發(fā)布的一份報(bào)告中說(shuō):“這可能表明有多個(gè)人參與了這場(chǎng)攻擊����?!?/p>
“或者,也可能是因?yàn)镽AT源代碼是公開(kāi)可用的��,并且有可能在暗網(wǎng)市場(chǎng)上出售?�!?/p>
RAT dropper泄露了列表
盡管他們使用了非常RAT惡意軟件作為被黑客入侵的電子商務(wù)服務(wù)器的后門(mén)程序���,但Magecart團(tuán)伙還是犯了一個(gè)很低級(jí)的錯(cuò)誤�����,即dropper代碼中誤加了一個(gè)被黑客入侵的在線商店的列表��。
Sansec劫持了攻擊者的RAT dropper并發(fā)現(xiàn)�,除了用于解析多個(gè)Magecart腳本部署設(shè)置的常用惡意代碼之外���,它還包含41個(gè)被攻擊商店的列表���。
這或許是因?yàn)椋琩ropper是由一個(gè)對(duì)PHP不太熟悉的人編寫(xiě)的����,因?yàn)樗笆褂霉蚕韮?nèi)存塊,這在PHP中很少使用����,反而在C程序中更常見(jiàn)”��。
Sansec還聯(lián)系了Magecart惡意軟件dropper代碼中包含的在線商店���,并告訴他們服務(wù)器已被攻擊。
在過(guò)去的幾個(gè)月中���,Sansec研究人員發(fā)現(xiàn)了多個(gè)使用更新的策略來(lái)保持持續(xù)性攻擊和逃避檢測(cè)的Magecart skimmer和惡意軟件樣本。
有一個(gè)在三個(gè)不同的商店中都發(fā)現(xiàn)的信用卡竊取腳本��,在BleepingComputer上周報(bào)告了這一消息時(shí)����,該腳本仍在使用CSS代碼隱藏在被黑客攻擊的網(wǎng)站上,它躲避了自動(dòng)安全掃描程序或手動(dòng)安全代碼審核等傳統(tǒng)方法的檢查�。
他們最近還發(fā)現(xiàn)了能夠偽裝成SVG社交媒體按鈕的網(wǎng)絡(luò)skimming惡意軟件,以及一個(gè)幾乎不可能消滅的帶有持久后門(mén)的信用卡竊取者���。
本文翻譯自:https://www.bleepingcomputer.com/news/security/stealthy-magecart-malware-mistakenly-leaks-list-of-hacked-stores/如若轉(zhuǎn)載�,請(qǐng)注明原文地址�����。
文章標(biāo)題:Magecart誤將被黑商店的列表泄露了
文章源于:
http://uogjgqi.cn/article/dpsooih.html
