Er is vastgesteld dat cybercriminelen swapbestanden op gecompromitteerde websites gebruiken om een hardnekkige creditcardskimmer te verbergen en betalingsgegevens te verzamelen.
De sluwe techniek, die Sucuri op de betaalpagina van een Magento e-commercesite zag, zorgde ervoor dat de malware meerdere opschoonpogingen overleefde, aldus het bedrijf.
De skimmer is ontworpen om alle gegevens van het creditcardformulier op de website te onderscheppen en de details te exfiltreren naar een door de aanvaller beheerd domein met de naam ‘amazon-analytic(.)com’, dat in februari 2024 werd geregistreerd.
“Let op het gebruik van de merknaam. Deze tactiek om populaire producten en diensten te promoten in domeinnamen wordt vaak gebruikt door kwaadwillenden in een poging om detectie te omzeilen”, aldus beveiligingsonderzoeker Matt Morrow.
Dit is slechts een van de vele methoden die de aanvaller inzet om de aanval te omzeilen. Hierbij wordt ook gebruikgemaakt van wisselbestanden (“bootstrap.php-swapme”) om de schadelijke code te laden, terwijl het oorspronkelijke bestand (“bootstrap.php”) intact blijft en geen malware bevat.
“Wanneer bestanden rechtstreeks via SSH worden bewerkt, maakt de server een tijdelijke ‘swap’-versie aan voor het geval de editor crasht. Zo voorkomt u dat de volledige inhoud verloren gaat”, legt Morrow uit.
“Het werd duidelijk dat de aanvallers een wisselbestand gebruikten om de malware op de server te houden en de normale detectiemethoden te omzeilen.”
Hoewel het momenteel niet duidelijk is hoe in dit geval de eerste toegang werd verkregen, wordt vermoed dat dit gebeurde via SSH of een andere terminalsessie.
De onthulling komt nadat gecompromitteerde beheerdersaccounts op WordPress-sites worden gebruikt om een schadelijke plug-in te installeren die zich voordoet als de legitieme Wordfence-plug-in, maar die de mogelijkheid biedt om malafide beheerdersgebruikers aan te maken en Wordfence uit te schakelen. Tegelijkertijd wordt zo de indruk gewekt dat alles werkt zoals verwacht.
“Omdat de schadelijke plug-in überhaupt op de website is geplaatst, moet de website al zijn gecompromitteerd. Deze malware kan echter zeker dienen als een herinfectievector”, aldus beveiligingsonderzoeker Ben Martin.
“De schadelijke code werkt alleen op pagina’s van de WordPress-beheerinterface waarvan de URL het woord ‘Wordfence’ bevat (configuratiepagina’s van de Wordfence-plug-in).”
Website-eigenaren wordt geadviseerd om het gebruik van gangbare protocollen zoals FTP, sFTP en SSH te beperken tot vertrouwde IP-adressen. Daarnaast moeten ze ervoor zorgen dat de contentmanagementsystemen en plug-ins up-to-date zijn.
Gebruikers wordt ook aangeraden om tweefactorauthenticatie (2FA) in te schakelen, een firewall te gebruiken om bots te blokkeren en aanvullende wp-config.php-beveiligingsimplementaties af te dwingen, zoals DISALLOW_FILE_EDIT en DISALLOW_FILE_MODS.