服务器端向恶意域的请求隐藏恶意软件从端点安全工具中
更新新颖的信用卡浏览恶意软件安全研究人员发现,这很容易逃避客户端检测是针对运行不支持Magento版本的电子商务网站的。
该广告系列已归因于Magecart组12,因为它使用了先前链接到该组的基础架构,并且新的恶意软件被伪装成Favicon - 一个图像文件,其中包含浏览器选项卡上显示的品牌徽标的图像文件。
新的应变名称“ Magento.png”,通过PHP Web Shell在目标网站上获得了立足点,与类似的Favicon Migitating Stammers不同beplay体育能用吗隐藏恶意的JavaScript代码。
队伍的尽头
Malwarebytes的主要恶意软件威胁情报分析师JérômeSegura告诉每日swbeplay2018官网ig他的团队在运行Magento 1的“几十个网站”上发现了恶意软件,“足以看到模式”。
最新和最终的Magento 1版本仍估计为电源将近53,000个电子商务网站在Adobe停止对发行线的支持后将近11个月。
Magecart 12威胁演员还被指责为2020年9月的一波袭击,该袭击利用了另一个创新的撇渣器,即风险Q.称为“蚂蚁和蟑螂”,受到影响接近3,000个域名Magento 1。
背景Magecart攻击:猫和鼠标游戏在网络校园和执法部门之间持续
多产的小组也因使用诱饵Cloudflare库以及在弱势网站上的隐秘货币矿工的秘密安装。beplay体育能用吗
塞古拉说:“我们仍然不太确定的一个方面是它们是否直接与网站的妥协有关。”beplay体育能用吗“他们很有可能会购买到已经上传炮弹的网站的访问权限。”
通过服务器侧偷偷摸摸
Magecart- 风格的攻击传统上使用Web注射来在Magento网站上部署Jabeplay体育能用吗vaScript代码,并从客户那里获得Exfittrate付款卡信息。
根据Malwarebytes的最新研究,Magento.png攻击使用称为“ Smilodon”或“ Megalodon”的PHP Web壳,将Javabeplay体育能用吗Script浏览代码动态注入目标站点。博客文章上周由塞古拉(Segura)出版。
对恶意域的请求是服务器端完成的,通过客户端安全工具绕过检测或阻止检测。
博客文章中写道,“除非所有受损的商店都被黑名单,这是一种陷阱22的情况,否则通常部署到阻碍传统客户端掠夺攻击的“域/IP数据库方法”将不适用于新的恶意软件。
Segura补充说,另一种方法是实时检查DOM并检测何时加载恶意代码,“更有效,但更复杂,也更容易误报”。
错误的PHP脚本
他继续说,Magento.png“试图将自己作为'Image/png'传递,但对于有效的图像文件没有适当的PNG格式”。
弱势站点被妥协:“通过使用通往伪造PNG文件的路径代替合法的快捷方式标签”。
但是,塞古拉指出:“在当前实施中php脚本不会正确加载”。
研究人员告诉一些被感染的站点“已经有现有的撇油器”每日swbeplay2018官网ig。“ PHP壳本可以以多种方式触发,我们确实发现它与Favicon绑在一起很奇怪。在先前的尝试中,我们曾在Favicon占位符中看到恶意的JavaScript,这很有意义,但是这种PHP并不是要以相同的方式工作。
“尽管如此,这项运动使我们对恶意软件可以做什么以及未来的可能性有一些很好的见解。随着防守者以快速的速度阻止网络掠夺基础架构,从安全产beplay体育能用吗品工作的客户端范围中进行掠夺并删除数据是有意义的。”
Segura还敦促在线商人保持其商店“最新和硬化,不仅通过PCI标准,而且还要维持信任购物者的位置”。
根据网络安全公司Foregenix在2020年7月进行的Magbeplay体育能用吗ento网站的扫描,在供应商支持中停产后几天,79.6%的恶意软件感染域正在运行Magento 1。
本文在5月17日从恶意软件的JérômeSegura的评论更新
