Los actores maliciosos han sido observados utilizando archivos swap en sitios web comprometidos para ocultar un skimmer de tarjetas de crédito persistente y recolectar información de pago.
La técnica, observada por Sucuri en la página de pago de un sitio de comercio electrónico Magento, permitió que el malware sobreviviera a múltiples intentos de limpieza, dijo la compañía.
El skimmer está diseñado para capturar todos los datos del formulario de tarjeta de crédito en el sitio web y exfiltrar los detalles a un dominio controlado por el atacante llamado «amazon-analytic[.]com», que fue registrado en febrero de 2024.
«Note el uso del nombre de la marca; esta táctica de aprovechar productos y servicios populares en nombres de dominio a menudo es utilizada por actores maliciosos en un intento de evadir la detección», dijo el investigador de seguridad Matt Morrow.
Esta es solo una de muchas técnicas de evasión de defensa empleadas por el actor de amenazas, que también incluye el uso de archivos swap («bootstrap.php-swapme») para cargar el código malicioso mientras mantiene el archivo original («bootstrap.php») intacto y libre de malware.
«Cuando los archivos se editan directamente a través de SSH, el servidor creará una versión temporal ‘swap’ en caso de que el editor se bloquee, lo que evita que se pierda todo el contenido», explicó Morrow.
«Se hizo evidente que los atacantes estaban aprovechando un archivo swap para mantener el malware presente en el servidor y evadir los métodos normales de detección».
Aunque actualmente no está claro cómo se obtuvo el acceso inicial en este caso, se sospecha que involucró el uso de SSH u otra sesión de terminal.
La divulgación llega cuando las cuentas de usuario administrador comprometidas en sitios de WordPress están siendo utilizadas para instalar un plugin malicioso que se hace pasar por el plugin legítimo Wordfence, pero viene con capacidades para crear usuarios administradores falsos y desactivar Wordfence mientras da la falsa impresión de que todo está funcionando correctamente.
«Para que el plugin malicioso haya sido colocado en el sitio web en primer lugar, el sitio web ya tendría que haber sido comprometido, pero este malware definitivamente podría servir como un vector de reinfección», dijo el investigador de seguridad Ben Martin.
«El código malicioso solo funciona en páginas de la interfaz de administración de WordPress cuyo URL contiene la palabra ‘Wordfence’ en ellas (páginas de configuración del plugin Wordfence)».
Se aconseja a los propietarios de sitios que restrinjan el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP de confianza, así como asegurarse de que los sistemas de gestión de contenido y los plugins estén actualizados.
También se recomienda a los usuarios habilitar la autenticación de dos factores (2FA), usar un firewall para bloquear bots y aplicar implementaciones adicionales de seguridad wp-config.php, como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS.
_______________________________________________
Threat actors have been observed using swap files on compromised websites to conceal a persistent credit card skimmer and harvest payment information.
The sneaky technique, observed by Sucuri on a Magento e-commerce site’s checkout page, allowed the malware to survive multiple cleanup attempts, the company said.
The skimmer is designed to capture all data into the credit card form on the website and exfiltrate the details to an attacker-controlled domain named «amazon-analytic[.]com,» which was registered in February 2024.
«Note the use of the brand name; this tactic of leveraging popular products and services in domain names is often used by bad actors in an attempt to evade detection,» security researcher Matt Morrow said.
This is just one of many defense evasion methods employed by the threat actor, which also includes the use of swap files («bootstrap.php-swapme») to load the malicious code while keeping the original file («bootstrap.php») intact and free of malware.
«When files are edited directly via SSH, the server will create a temporary ‘swap’ version in case the editor crashes, which prevents the entire contents from being lost,» Morrow explained.
«It became evident that the attackers were leveraging a swap file to keep the malware present on the server and evade normal methods of detection.»
Although it’s currently not clear how the initial access was obtained in this case, it’s suspected to have involved the use of SSH or some other terminal session.
The disclosure arrives as compromised administrator user accounts on WordPress sites are being used to install a malicious plugin that masquerades as the legitimate Wordfence plugin but comes with capabilities to create rogue admin users and disable Wordfence while giving a false impression that everything is working as expected.
«In order for the malicious plugin to have been placed on the website in the first place, the website would have already had to have been compromised — but this malware could definitely serve as a reinfection vector,» security researcher Ben Martin said.
«The malicious code only works on pages of the WordPress admin interface whose URL contains the word ‘Wordfence’ in them (Wordfence plugin configuration pages).»
Site owners are advised to restrict the use of common protocols like FTP, sFTP, and SSH to trusted IP addresses, as well as ensure that the content management systems and plugins are up-to-date.
Users are also recommended to enable two-factor authentication (2FA), use a firewall to block bots, and enforce additional wp-config.php security implementations such as DISALLOW_FILE_EDIT and DISALLOW_FILE_MODS.
El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.