Malware de skimming de cartão de crédito Smilodon muda para WordPress

 

A enorme participação de mercado do WordPress veio com um efeito colateral não surpreendente: à medida que mais e mais administradores de sites recorrem a plugins populares como WooCommerce para obter lucro em seu site e configurar lojas online que vimos um aumento significativo no número de ataques visando sites de comércio eletrônico WordPress. Além disso, os maus atores estão redirecionando seu antigo cartão de crédito Magento para roubar malware para uso contra o WordPress.

No post de hoje, vamos examinar um desses malwares que foi inicialmente usado como backdoor em ambientes Magento, mas mais recentemente reaproveitado para atuar como um skimmer de cartão de crédito e webshell em sites que executam WordPress e WooCommerce.

Origens

Esse malware foi relatado originalmente por um de nossos analistas no final de 2020. A amostra original é um backdoor de execução remota de código fortemente ofuscado:

Um backdoor de execução remota de código ofuscado originalmente encontrado em ambientes Magento

Esse código serviu ao propósito de todos os backdoors: restabelecer a carga maliciosa no site da vítima — neste caso, um skimmer de cartão de crédito.

Antes de dezembro de 2021, todas as instâncias desse malware foram encontradas em ambientes de comércio eletrônico Magento comprometidos e injetados (principalmente) em arquivos de tema.

Um gráfico mostrando a distribuição de nomes de arquivos de um backdoor RCE do final de 2020

Por volta de novembro de 2020 e julho de 2021, vimos dois grandes picos nas detecções para esse backdoor específico:

Um gráfico mostrando detecções conhecidas de um backdoor RCE, mais tarde transformado em um skimmer de cartão de crédito

Talvez não por coincidência, esses grandes aumentos nas infecções ocorreram logo após a divulgação e publicação de vulnerabilidades para a plataforma Magento CMS durante esses mesmos tempos períodos

Devido à maneira como o Magento funciona, o código de clonagem do cartão de crédito real reside em outros arquivos que lidam diretamente com as informações de pagamento.

Mudar para o WordPress

Quando examinamos instâncias mais recentes desse malware, vemos uma imagem totalmente diferente:

Um gráfico de pizza demonstrando os nomes dos arquivos do backdoor RCE / skimmer de crédito detectado desde dezembro de 2021

Desde dezembro de 2021, quase todas as instâncias desse malware foram encontradas injetadas em arquivos de plug-in WordPress falsos/maliciosos.

Aqui estão dois exemplos de padrões de localização comuns encontrados na natureza:

./wp-content/plugins/dos2unix/dos2unix.php
./wp-content/plugins/wpyii2/wpyii2.php

Existem várias diferenças cruciais entre o malware em ambientes Magento versus WordPress. O primeiro deles são os dados falsos obrigatórios do plugin WordPress:

Código de plugin falso de um skimmer de cartão de crédito WordPress

Isso é para tentar induzir o usuário a pensar que este código pertence a um plugin legítimo. O plugin, claro, não existe e é erroneamente atribuído ao Yii PHP Framework.

No que diz respeito ao malware real, uma diferença importante é esse pedaço adicional de conteúdo codificado:

Um pedaço adicional de código transformando um backdoor RCE em um webshell e skimmer de cartão de crédito

Vamos dar uma olhada lá dentro e ver o que encontramos, certo?

Código do ladrão de configuração do FilesMan

Aqui vemos o código do clássico Shell do FilesMan, um favorito de longa data entre os atacantes. O que inicialmente era um backdoor RCE foi atualizado para conter recursos completos do webshell, incluindo código de roubo de configuração e recursos de gerenciamento de banco de dados.

Este web shell também contém a funcionalidade de força bruta para uso em ataques de dicionário. Como esse malware já está presente em um ambiente comprometido, é provável que esse webshell com muitos recursos seja usado para tentar se espalhar ainda mais pelo ambiente e possivelmente atacar outros sites.

Funcionalidade de força bruta adicionada ao backdoor RCE

Análise de um Skimmer WordPress

A diferença mais importante de todas para este malware é este bloco de código adicional:

Um skimmer de cartão de crédito codificado encontrado em ambientes WordPress

Podemos decodificar isso com bastante facilidade usando a inversão do base64 e inflar codificação:

Skimmer de cartão de crédito decodificado em ambientes WordPress

Esse pedaço de código adicional transforma o backdoor e o shell de execução remota em um skimmer de cartão de crédito totalmente funcional. Vemos todas as informações usuais sendo exfiltradas: números de cartão de crédito, datas de validade, códigos de segurança, endereços de cobrança, nomes e outras informações confidenciais.

Como esse código do skimmer é carregado no diretório de plugins do WordPress, o aplicativo carregará o código como se fosse um plugin normal. Além disso, esse skimmer opera no “backend” do PHP, tornando-o invisível para as máquinas terminais dos clientes que realizam as transações e, portanto, indetectável por qualquer programa antivírus executado nelas.

O código contém referências a pelo menos três domínios de malware diferentes:

javasources[.]net
google-statik[.]pw
predator[.]host

Segmentação WooCommerce

Até recentemente, os agentes de ameaças do MageCart concentravam seus esforços principalmente em plataformas de comércio eletrônico criadas especificamente, como Magento, OpenCart e PrestaShop. Afinal, por que se esforçar para comprometer os sites do WordPress se a maioria deles nem está lidando com pagamentos ou dados de cartão de crédito?

Com o WooCommerce representando aproximadamente 40% das lojas de comércio eletrônico e se tornando o software de comércio eletrônico mais prevalente na web, era apenas uma questão de tempo até que os invasores concentrassem seus esforços nessa plataforma. Vemos evidências disso nesse plugin malicioso específico.

Para filtrar apenas sites de comércio eletrônico, os invasores adicionaram a seguinte linha de código que realiza uma verificação para determinar se o WooCommerce está instalado e presente no ambiente:

Verificação de código malicioso quanto à presença do WooCommerce em ambientes infectados

Este é um gancho direto para WooCommerce. Se WooCommerce é presente então o web shell/skimmer será injetado. Se o plug-in não existir no ambiente, ele não retornará nada e os invasores se contentarão em apenas injetar o shell, presumivelmente para usar para outros fins.

Por que deixar um ambiente comprometido ir para o lixo, afinal?

Atores de Ameaça MageCart

Um nome continuou aparecendo repetidamente enquanto analisava este código: SMILODON – comumente referido como tigres-dentes-de-sabre.

Além de ser um mamífero pré-histórico extinto há muito tempo, o SMILODON também é usado por certos agentes de ameaças envolvidos no malware de clonagem de cartão de crédito do grupo MageCart 12 – e isso é não é a primeira vez que vimos o trabalho deles. Na verdade, esse código é quase idêntico a um ataque de skimming em um site WordPress que encontramos no outono passado.

Os pesquisadores de segurança da MalwareBytes também escrito sobre os agentes de malware SMILODON MageCart. Eles parecem estar por trás de vários ataques de hackers Magento em grande escala durante novembro de 2020 e julho de 2021, conforme descrito em nossos gráficos.

Malware skimming de cartão de crédito SMILODON encontrado em ambientes WordPress

Para concluir

Este é um ótimo exemplo da tendência de infecções por roubo de cartão de crédito em relação ao WordPress e por que os proprietários de sites de comércio eletrônico precisam estar mais atentos do que nunca para proteger seus sites e os dados de seus clientes.

Os mesmos invasores que visavam plataformas de comércio eletrônico específicas, como Magento e OpenCart, agora estão claramente concentrando seus esforços em ambientes WordPress que executam WooCommerce.

Os administradores de sites devem ficar atentos e tomar as medidas preventivas necessárias para manter seus sites protegidos contra esses ataques:

  • Mantenha seu site atualizado com todas as atualizações de software e segurança
  • Ative as atualizações automáticas se você puder
  • proteger sua área de administração de acesso não autorizado

Saiba mais

Peça online

3172177

Receba as Novidades

Receba as novidades para encontrar as melhores oportunidades de crescimento do seu negócio.

Inteligência em web, design e marketing. 
Brasil – Portugal –  Europa


© 2024 mktize.com | Agência digital