VISA: Οι χάκερ χρησιμοποιούν όλο και περισσότερο Web Shells για να κλέψουν πιστωτικές κάρτες

Η πολυεθνική εταιρεία χρηματοοικονομικών υπηρεσιών VISA προειδοποιεί ότι οι απειλητικοί παράγοντες αναπτύσσουν όλο και περισσότερα Κελύφη Ιστού (web shells) σε παραβιασμένους servers, για την κλοπή πληροφοριών πιστωτικών καρτών από πελάτες διαδικτυακών καταστημάτων.

Καθ ‘όλη τη διάρκεια του περασμένου έτους, η VISA διαπίστωσε μια αυξανόμενη τάση Κελυφών Ιστού, που χρησιμοποιούνται από τους απατεώνες για την διείσδυση scripts σε παραβιασμένους servers και έχουν σαν στόχο τις πιστωτικές κάρτες, γνωστά και ως web skimmers πιστωτικών καρτών ή digital skimming ή e-Skimming ή Magecart.

Τι είναι τα Web Shells;
Τα Web Shells (Κελύφη Ιστού) είναι εργαλεία (scripts ή προγράμματα) που αναπτύσσονται από απατεώνες για να αποκτήσουν ή / και να διατηρήσουν την πρόσβαση σε παραβιασμένους διακομιστές (servers), ώστε να μπορούν να εκτελούν εξ αποστάσεως αυθαίρετο κώδικα ή εντολές, να μετακινηθούν πλευρικά εντός του δικτύου ενός στόχου ή να παραδώσουν επιπλέον λογισμικό.

Αφού εγκατασταθούν σε ένα server δίνουν τη δυνατότητα στον ιδιοκτήτη τους να αλληλεπιδράσουν με τον παραβιασμένο server και αποκτήσουν πρόσβαση στο σύστημα αρχείων του (filesystem). Τα περισσότερα web shells επιτρέπουν τη μετονομασία, την αντιγραφή, τη μετακίνηση ακόμη και την επεξεργασία ή τη μεταφόρτωση αρχείων στον server. Και φυσικά μπορούν να κλέψουν δεδομένα από τον server.

Οι hackers εκμεταλλεύονται ευπάθειες του λειτουργικού ενός server, αλλά και των web εφαρμογών που υπάρχουν σε αυτό, για να παραβιάσουν και να εγκαταστήσουν web shells σε αυτόν. Τα web shells μπορούν να γραφτούν σε οποιαδήποτε γλώσσα προγραμματισμού. Αυτό επιτρέπει στους hackers να τα κρύψουν μέσα στον κώδικα οποιουδήποτε site που ανεβαίνει σε ένα server, γεγονός που δυσκολεύει την ανίχνευσή τους, χωρίς τουλάχιστον τη βοήθεια ενός web ή ενός web malware scanner.

Συνήθως μαζί με κάποιο web shell υπάρχει και ένα script. Όταν οι επιτιθέμενοι καταφέρουν και παραβιάσουν ένα server, φροντίζουν να εδραιώσουν την παρουσία τους όσο τον δυνατόν . Μαζί με το web shell εγκαθιστούν και ένα backdoor, για να μπορούν να ξαναμολύνουν τον server στην περίπτωση που ανακαλυφθεί το web shell και αφαιρεθεί.

Τι είδε η VISA;
Η εταιρεία διαπίστωσε μία μεγάλη ανάπτυξη από skimmers γραμμένα σε γλώσσα Javascript, τα οποία μόλις αναπτυχθούν επιτρέπουν στους απατεώνες να κλέψουν την πληρωμή και τα προσωπικά στοιχεία πελατών που υπάρχουν σε διαδικτυακά καταστήματα και να τα στείλουν σε διακομιστές υπό τον έλεγχό τους.

Όπως διαπίστωσε η VISA, ως επί το πλείστον χρησιμοποιήθηκαν τα κελύφη ιστού για την τοποθέτηση Magecart σε παραβιασμένους διαδικτυακούς διακομιστές καταστημάτων. Τα κελύφη ιστού δημιούργησαν μια υποδομή εντολών και ελέγχου, που επέτρεψε στους απατεώνες να διεισδύσουν στις πληροφορίες των πιστωτικών καρτών.

Οι εισβολείς χρησιμοποίησαν πολλαπλές μεθόδους για να παραβιάσουν τους διακομιστές των διαδικτυακών καταστημάτων, συμπεριλαμβανομένων τρωτών σημείων σε μη διοικητική υποδομή, προσθήκες εφαρμογών που σχετίζονται με το ηλεκτρονικό εμπόριο και παλιές, μη ενημερωμένες πλατφόρμες ηλεκτρονικού εμπορίου.

Τα Κελύφη Ιστού χρησιμοποιούνται όλο και περισσότερο σε διακομιστές backdoor
Τον Φεβρουάριο, τα ευρήματα της VISA επιβεβαιώθηκαν από την Microsoft Defender Advanced Threat Protection (ATP), η οποία δήλωσε ότι ο αριθμός των web shells που αναπτύχθηκαν σε παραβιασμένους διακομιστές έχει σχεδόν διπλασιαστεί από το προηγούμενο έτος.

Οι ερευνητές ασφάλειας της εταιρείας ανακάλυψαν κατά μέσο όρο κάθε μήνα 140.000 τέτοια κακόβουλα εργαλεία σε παραβιασμένους διακομιστές, για ένα διάστημα μεταξύ Αυγούστου 2020 έως Ιανουαρίου 2021

Συγκριτικά, η Microsoft δήλωσε σε μια έκθεση του 2020, ότι ανίχνευσε κατά μέσο όρο 77.000 κελύφη ιστού κάθε μήνα, με βάση δεδομένα που συλλέχθηκαν από περίπου 46.000 διαφορετικές συσκευές μεταξύ Ιουλίου και Δεκεμβρίου 2019.

Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ (NSA) προειδοποίησε επίσης σε μια κοινή έκθεση που εκδόθηκε μαζί με την Αυστραλιανή Διεύθυνση Σημάτων (ASD) τον Απρίλιο του 2020, για κακοποιούς που απειλούν να κλιμακώσουν τις επιθέσεις τους σε ευπαθείς διακομιστές backdoor, με την ανάπτυξη κελυφών ιστού.

Σύμφωνα με την VISA η χρήση web shells για τη διευκόλυνση των επιθέσεων e-Skimming πιθανότατα θα συνεχιστεί, ειδικά καθώς οι περιορισμοί σχετικά με το εμπόριο και την φυσική παρουσία στα καταστήματα παραμένουν σε ισχύ, εν όψη της πανδημίας Covid-19.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).