FBI: Hackers usaram código PHP malicioso para pegar dados de cartão de crédito
Atacantes não identificados acessaram dados de cartão de crédito e criaram um backdoor nos sistemas da vítima, diz a agência de aplicação da lei.
O Federal Bureau of Investigations (FBI) está avisando que alguém está extraindo dados de cartão de crédito das páginas de finalizar compra dos sites das empresas americanas.
“A partir de janeiro de 2022, cibercriminosos não identificados extraíram ilegalmente dados de cartão de crédito de uma empresa dos EUA, injetando código PHP Hypertext Preprocessor (PHP) malicioso na página de finalizar compra online da empresa e enviando os dados raspados para um servidor controlado por ator que falsificou um servidor de processamento de cartões”, disse o FBI em um alerta.
Ele disse que os “atores cibernéticos não identificados” também estabeleceram acesso de backdoor ao sistema da vítima, modificando dois arquivos na página de finalizar compra.
Os ataques de desvio de cartão Magecart baseados em JavaScript têm sido a principal ameaça aos sites de comércio eletrônico nos últimos anos, mas o código PHP continua sendo uma das principais fontes de atividade de desvio de cartão.
Os invasores começaram a atacar empresas dos EUA em setembro de 2020, inserindo código PHP malicioso nas páginas personalizadas de finalizar compra online. Mas no início deste ano, os atores mudaram de tática usando uma função PHP diferente.
Os atores criam um backdoor básico usando uma função de depuração que permite que o sistema baixe dois webshells no servidor web da empresa americana, dando aos invasores backdoors para exploração adicional.
As mitigações recomendadas pelo FBI incluem alterar as credenciais de login padrão em todos os sistemas, monitorar solicitações realizadas em seu ambiente de comércio eletrônico para identificar possíveis atividades maliciosas, segregar e segmentar sistemas de rede para limitar a facilidade com que os criminosos cibernéticos podem se mover de um para outro e proteger todos os sites transferir informações confidenciais usando o protocolo SSL (Secure Socket Layer).
A empresa de segurança Sucuri observou que 41% das novas amostras de malware de clonagem de cartão de crédito em 2021 eram de skimmers de cartão de crédito de back-end PHP. Isso sugeriu que apenas a verificação de infecções de JavaScript de front-end poderia estar perdendo uma grande proporção de malware de clonagem de cartão de crédito.
Como explica Sucuri, os backdoors do webshell dão aos invasores acesso total ao sistema de arquivos do site, geralmente fornecendo uma visão completa do ambiente, incluindo o sistema operacional do servidor e as versões do PHP, além de funcionalidades poderosas para alterar permissões de arquivos e mover para sites e diretórios adjacentes. Os Webshells representaram 19% das 400 novas assinaturas de malware coletadas pela Sucuri em 2021. A empresa viu um aumento “extremamente desproporcional” nas assinaturas em 2021 para ladrões de cartão de crédito baseados em PHP que impactaram as plataformas de comércio eletrônico Magento, WordPress e OpenCart.
Sem Comentários! Seja o primeiro.