被互联网攻击机构侵入的数十家在线商店的列表被不经意中泄漏,泄露者是一个被用以在受攻击的电商系统上布署隐型远程连接木马病毒(RAT)的dropper。
危害者应用此RAT来维持不断地得到对网站被黑在线商店服务器的访问限制。
一旦她们联接到店铺,攻击者便会布署银行信用卡skimmer脚本制作,这种脚本制作会在数据skimming攻击(也称之为Magecart)中盗取和过虑顾客的自身和财务报表。
网上商城服务器中的Sleepy rats
安全性企业Sansec的分析工作人员专注于维护移动电商店铺免遭Web skimming攻击的损害。该公司表明,该恶意软件在PHP-based的恶意软件dropper的幫助下,以64位ELF可执行程序的方式推送。
为了更好地躲避检验和防碍剖析,未命名的RAT会装扮成DNS或SSH服务器daemon,那样它在服务器的过程列表中就不可能特别醒目。
该恶意软件也几乎24小时都处在睡眠模式,每日零晨7点才会运作一次,以联接到其指令和操纵服务器并要求指令。
Sansec从多台受攻击的服务器中整理的RAT样版早已由对于Ubuntu和Red Hat Linux的这种攻击身后的攻击者开展了选编。
Sansec在今天稍早公布的一份汇报上说:“这很有可能表示有多本人参加了这一场攻击。”
“或是,也有可能是由于RAT源码是公布可以用的,而且有可能在影子网络销售市场上售卖。”
RAT dropper泄漏了列表
虽然她们应用了十分专业的RAT恶意软件做为被黑客攻击的移动电商服务器的木马程序,但Magecart犯罪团伙或是犯了一个很低等的不正确,即dropper编码时误加了一个被黑客攻击的在线商店的列表。
Sansec挟持了攻击者的RAT dropper并发觉,除开用以分析好几个Magecart脚本制作布署设定的常见恶意程序以外,它还包括41个被攻击店铺的列表。
这可能是由于,dropper是由一个对PHP不太熟的人撰写的,因为它“应用共享内存块,这在PHP中极少应用,反倒在C程序流程中更普遍”。
Sansec还关联了Magecart恶意软件dropper编码中包括的在线商店,并提醒她们服务器已被攻击。
在过去的的好多个月中,Sansec科学研究工作人员发觉了好几个应用升级的战略来维持延续性攻击和躲避检验的Magecart skimmer和恶意软件样版。
有一个在三个不一样的店铺里都发觉的银行信用卡盗取脚本制作,在BleepingComputer上星期汇报了这一新闻时,该脚本制作仍在应用CSS编码掩藏在被网络黑客攻击的站点上,它躲避了全自动网络检测程序流程或手动式安全性编码审批等传统式方式 的查验。
她们近期还看到了可以装扮成SVG社交媒体按键的互联网skimming恶意软件,及其一个几乎不太可能解决的含有长久侧门的银行信用卡盗取者。
文中翻譯自:https://www.bleepingcomputer.com/news/security/stealthy-magecart-malware-mistakenly-leaks-list-of-hacked-stores/倘若转截,请标明全文详细地址。