被网络攻击团伙黑掉的数十家网店名单被网络攻击团伙无意中泄露,被用来对被攻击的电商网站部署隐身远程访问木马(RAT)滴管。威胁行为者使用此RAT来维持对被黑在线商店服务器的持久访问。一旦他们连接到商店,攻击者就会部署信用卡窃取脚本,在数字窃取攻击(也称为Magecart)中窃取和过滤客户的个人和财务数据。网络商店服务器中的昏昏欲睡的老鼠安全公司Sansec的研究人员正在努力保护电子商务商店免受网络浏览攻击。该公司表示,在基于PHP的恶意软件投放器的帮助下,该恶意软件以64位ELF可执行文件的形式提供。为了逃避检测和阻碍分析,未命名的RAT伪装成DNS或SSH服务器守护进程,因此它在服务器的进程列表中不是很显眼。该恶意软件几乎整天都处于睡眠模式,每天早上7点只运行一次以连接到其命令和控制服务器并请求命令。Sansec从几台受感染的服务器收集的RAT样本已由这些针对Ubuntu和RedHatLinux的攻击背后的攻击者编译。“这可能表明多人参与了此次攻击,”Sansec在今天早些时候发布的一份报告中说。“或者,这可能是因为RAT源代码是公开的,并且可能在暗网市场上。”RATdropper泄露的列表尽管他们使用非常先进的RAT恶意软件作为被黑电子商务服务器的后门,但Magecart团伙还是犯了一个严重的错误,即添加了被黑在线商店列表。Sansec劫持了攻击者的RATdropper,发现除了用于解析多个Magecart脚本的部署设置的常用恶意代码外,它还包含41家被攻击商店的列表。这可能是因为dropper是由不太熟悉PHP的人编写的,因为它“使用共享内存块,这在PHP中很少使用,而在C程序中更常见”。Sansec还联系了Magecart恶意软件植入程序代码中包含的在线商店,并通知他们他们的服务器已被入侵。在过去的几个月里,Sansec研究人员发现了多个Magecartskimmer和恶意软件样本,它们使用更新的策略来维持持续攻击和逃避检测。在三个不同的商店中发现了一个信用卡窃取脚本,在BleepingComputer上周报道时,它仍然隐藏在被黑客攻击的网站上,使用CSS代码逃避自动安全扫描仪或手动安全代码审查等传统方法的检查。他们最近还发现了能够伪装成SVG社交媒体按钮的网络浏览恶意软件,以及一个几乎无法杀死的带有持久后门的信用卡窃取程序。本文翻译自:https://www.bleepingcomputer.com/news/security/stealthy-magecart-malware-mistakenly-leaks-list-of-hacked-stores/如有转载请注明出处。
