[[359242]]

被網(wǎng)絡(luò)攻擊組織入侵的數(shù)十家在線商店的列表被無意中泄露，泄露者是一個(gè)被用于在受攻擊的電子商務(wù)網(wǎng)站上部署隱形遠(yuǎn)程訪問木馬(RAT)的dropper。

威脅者使用此RAT來保持持續(xù)地獲得對(duì)被黑在線商店服務(wù)器的訪問權(quán)限。

一旦他們連接到商店，攻擊者就會(huì)部署信用卡skimmer腳本，這些腳本會(huì)在數(shù)字skimming攻擊(也稱為Magecart)中竊取和過濾客戶的個(gè)人和財(cái)務(wù)數(shù)據(jù)。

網(wǎng)上商店服務(wù)器中的Sleepy rats

安全公司Sansec的研究人員致力于保護(hù)電子商務(wù)商店免受Web skimming攻擊的侵害。該公司表示，該惡意軟件在PHP-based的惡意軟件dropper的幫助下，以64位ELF可執(zhí)行文件的形式發(fā)送。

為了逃避檢測(cè)和妨礙分析，未命名的RAT會(huì)偽裝成DNS或SSH服務(wù)器daemon，這樣它在服務(wù)器的進(jìn)程列表中就不會(huì)非常顯眼。

該惡意軟件也幾乎全天都處于睡眠模式，每天凌晨7點(diǎn)才會(huì)運(yùn)行一次，以連接到其命令和控制服務(wù)器并請(qǐng)求命令。

Sansec從幾臺(tái)受攻擊的服務(wù)器中收集的RAT樣本已經(jīng)由針對(duì)Ubuntu和Red Hat Linux的這些攻擊背后的攻擊者進(jìn)行了匯編。

Sansec在今天早些時(shí)候發(fā)布的一份報(bào)告中說：“這可能表明有多個(gè)人參與了這場(chǎng)攻擊。”

“或者，也可能是因?yàn)镽AT源代碼是公開可用的，并且有可能在暗網(wǎng)市場(chǎng)上出售。”

RAT dropper泄露了列表

盡管他們使用了非常先進(jìn)的RAT惡意軟件作為被黑客入侵的電子商務(wù)服務(wù)器的后門程序，但Magecart團(tuán)伙還是犯了一個(gè)很低級(jí)的錯(cuò)誤，即dropper代碼中誤加了一個(gè)被黑客入侵的在線商店的列表。

Sansec劫持了攻擊者的RAT dropper并發(fā)現(xiàn)，除了用于解析多個(gè)Magecart腳本部署設(shè)置的常用惡意代碼之外，它還包含41個(gè)被攻擊商店的列表。

這或許是因?yàn)?，dropper是由一個(gè)對(duì)PHP不太熟悉的人編寫的，因?yàn)樗?ldquo;使用共享內(nèi)存塊，這在PHP中很少使用，反而在C程序中更常見”。

Sansec還聯(lián)系了Magecart惡意軟件dropper代碼中包含的在線商店，并告訴他們服務(wù)器已被攻擊。

在過去的幾個(gè)月中，Sansec研究人員發(fā)現(xiàn)了多個(gè)使用更新的策略來保持持續(xù)性攻擊和逃避檢測(cè)的Magecart skimmer和惡意軟件樣本。

有一個(gè)在三個(gè)不同的商店中都發(fā)現(xiàn)的信用卡竊取腳本，在BleepingComputer上周報(bào)告了這一消息時(shí)，該腳本仍在使用CSS代碼隱藏在被黑客攻擊的網(wǎng)站上，它躲避了自動(dòng)安全掃描程序或手動(dòng)安全代碼審核等傳統(tǒng)方法的檢查。

他們最近還發(fā)現(xiàn)了能夠偽裝成SVG社交媒體按鈕的網(wǎng)絡(luò)skimming惡意軟件，以及一個(gè)幾乎不可能消滅的帶有持久后門的信用卡竊取者。

本文翻譯自：https://www.bleepingcomputer.com/news/security/stealthy-magecart-malware-mistakenly-leaks-list-of-hacked-stores/如若轉(zhuǎn)載，請(qǐng)注明原文地址。