已观察到威胁行为者在受感染的网站中使用交换文件来隐藏持久的信用卡撇油器并收集付款信息。
该公司表示,Sucuri在Magento电子商务网站的结帐页面上观察到的偷偷摸摸的技术使恶意软件能够在多次清理尝试中幸存下来。
撇油器旨在将所有数据捕获到网站上的信用卡表格中,并将详细信息泄露到攻击者控制的名为“amazon-analytic[.]com“,于 2024 年 2 月注册。
“注意品牌名称的使用;这种利用域名中流行产品和服务的策略经常被不良行为者用来逃避检测,“安全研究员Matt Morrow说。
这只是威胁行为者采用的众多防御规避方法之一,其中还包括使用交换文件 (“bootstrap.php-swapme”) 加载恶意代码,同时保持原始文件 (“bootstrap.php”) 完好无损且没有恶意软件。
“当文件直接通过SSH编辑时,服务器将创建一个临时的'交换'版本,以防编辑器崩溃,从而防止整个内容丢失,”Morrow解释说。
“很明显,攻击者正在利用交换文件将恶意软件保留在服务器上并逃避正常的检测方法。
虽然目前尚不清楚在这种情况下如何获得初始访问权限,但怀疑它涉及使用 SSH 或其他一些终端会话。
披露是在 WordPress 网站上被入侵的管理员用户帐户被用于安装伪装成合法 Wordfence 插件的恶意插件,但具有创建流氓管理员用户和禁用 Wordfence 的功能,同时给人一种一切正常的错误印象按预期工作。
“为了让恶意插件首先被放置在网站上,网站本来就已经遭到入侵了——但这种恶意软件绝对可以作为再感染媒介,”安全研究员本·马丁说。
“恶意代码仅适用于 WordPress 管理界面的页面,其 URL 中包含”Wordfence“一词(Wordfence 插件配置页面)。”
建议网站所有者将 FTP、sFTP 和 SSH 等常见协议的使用限制为受信任的 IP 地址,并确保内容管理系统和插件是最新的。
还建议用户启用双因素身份验证 (2FA),使用防火墙阻止机器人,并强制实施其他wp-config.php安全实现,例如 DISALLOW_FILE_EDIT 和 DISALLOW_FILE_MODS。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):Magento网站安全漏洞曝光,请相关用户及时加固
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论