Скиммер кредитных карт через swap-файлы на платформе Magento

Злоумышленники начали использовать специальные файлы на взломанных сайтах, чтобы скрыть вредоносные программы, которые крадут данные кредитных карт. Эти программы собирают информацию о платежах и отправляют её на сайт, контролируемый хакерами.

Компания Sucuri обнаружила, что на странице оформления заказа одного из сайтов, использующих платформу Magento, вредоносное ПО выживало после нескольких попыток очистки. Программа собирала все данные, введённые в форму кредитной карты, и отправляла их на домен "amazon-analytic[.]com", зарегистрированный в феврале 2024 года.

Злоумышленники часто используют известные бренды в названиях доменов, чтобы избежать обнаружения. В данном случае они использовали временные файлы ("bootstrap.php-swapme"), чтобы загрузить вредоносный код, сохраняя оригинальный файл ("bootstrap.php") чистым.

Когда файлы редактируются напрямую через SSH, сервер создаёт временную версию файла на случай сбоя редактора, чтобы предотвратить потерю данных. Хакеры использовали этот механизм, чтобы сохранить вредоносное ПО на сервере и избежать обнаружения.

Хотя пока не ясно, как именно злоумышленники получили первоначальный доступ, предполагается, что они использовали SSH или другой терминал.

Также стало известно, что на взломанных сайтах WordPress злоумышленники устанавливают вредоносный плагин, который маскируется под легитимный плагин Wordfence. Этот плагин создаёт фальшивых администраторов и отключает Wordfence, создавая видимость нормальной работы сайта.

Чтобы защититься от таких угроз, владельцам сайтов рекомендуется:

1. Ограничить использование протоколов FTP, sFTP и SSH только доверенными IP-адресами.
2. Обновлять системы управления контентом и плагины.
3. Включить двухфакторную аутентификацию (2FA).
4. Использовать файрвол для блокировки ботов.
5. Внедрить дополнительные меры безопасности для файла wp-config.php, такие как DISALLOW_FILE_EDIT и DISALLOW_FILE_MODS.