23 de julio de 2024Sala de prensaDetección de amenazas / Seguridad de sitios web Se ha observado que los actores de amenazas utilizan archivos de intercambio en sitios web comprometidos para ocultar un skimmer de tarjetas de crédito persistente y recopilar información de pago. La técnica furtiva, observada por Sucuri en la página de pago de un sitio de comercio electrónico de Magento, permitió que el malware sobreviviera a múltiples intentos de limpieza, dijo la compañía. El skimmer está diseñado para capturar todos los datos en el formulario de tarjeta de crédito en el sitio web y exfiltrar los detalles a un dominio controlado por el atacante llamado «amazon-analytic».[.]com», que se registró en febrero de 2024. «Téngase en cuenta el uso del nombre de marca; «Esta táctica de aprovechar productos y servicios populares en nombres de dominio es utilizada a menudo por actores maliciosos en un intento de evadir la detección», dijo el investigador de seguridad Matt Morrow. Este es solo uno de los muchos métodos de evasión de defensa empleados por el actor de amenazas, que también incluye el uso de archivos de intercambio («bootstrap.php-swapme») para cargar el código malicioso mientras se mantiene el archivo original («bootstrap.php») intacto y libre de malware. «Cuando los archivos se editan directamente a través de SSH, el servidor creará una versión ‘swap’ temporal en caso de que el editor falle, lo que evita que se pierda todo el contenido», explicó Morrow. «Se hizo evidente que los atacantes estaban aprovechando un archivo de intercambio para mantener el malware presente en el servidor y evadir los métodos normales de detección». Aunque actualmente no está claro cómo se obtuvo el acceso inicial en este caso, se sospecha que implicó el uso de SSH o alguna otra sesión de terminal. La revelación llega cuando las cuentas de usuario de administrador comprometidas en los sitios de WordPress se están utilizando para instalar un complemento malicioso que se hace pasar por el complemento legítimo de Wordfence, pero viene con capacidades para crear Los usuarios administradores maliciosos pueden desactivar Wordfence y dar la falsa impresión de que todo funciona como se espera. «Para que el complemento malicioso se haya colocado en el sitio web en primer lugar, el sitio web ya debería haber sido comprometido, pero este malware definitivamente podría servir como un vector de reinfección», dijo el investigador de seguridad Ben Martin. «El código malicioso solo funciona en páginas de la interfaz de administración de WordPress cuya URL contiene la palabra ‘Wordfence’ en ellas (páginas de configuración del complemento de Wordfence)». Se recomienda a los propietarios de sitios que restrinjan el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP confiables, así como asegurarse de que los sistemas de administración de contenido y los complementos estén actualizados. También se recomienda a los usuarios que habiliten la autenticación de dos factores (2FA), utilicen un firewall para bloquear bots y apliquen implementaciones de seguridad adicionales de wp-config.php como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.