Η πολυεθνική εταιρεία χρηματοοικονομικών υπηρεσιών VISA προειδοποιεί ότι οι απειλητικοί παράγοντες αναπτύσσουν όλο και περισσότερα Κελύφη Ιστού (web shells) σε παραβιασμένους servers, για την κλοπή πληροφοριών πιστωτικών καρτών από πελάτες διαδικτυακών καταστημάτων.
Καθ ‘όλη τη διάρκεια του περασμένου έτους, η VISA διαπίστωσε μια αυξανόμενη τάση Κελυφών Ιστού, που χρησιμοποιούνται από τους απατεώνες για την διείσδυση scripts σε παραβιασμένους servers και έχουν σαν στόχο τις πιστωτικές κάρτες, γνωστά και ως web skimmers πιστωτικών καρτών ή digital skimming ή e-Skimming ή Magecart.
Τι είναι τα Web Shells;
Τα Web Shells (Κελύφη Ιστού) είναι εργαλεία (scripts ή προγράμματα) που αναπτύσσονται από απατεώνες για να αποκτήσουν ή / και να διατηρήσουν την πρόσβαση σε παραβιασμένους διακομιστές (servers), ώστε να μπορούν να εκτελούν εξ αποστάσεως αυθαίρετο κώδικα ή εντολές, να μετακινηθούν πλευρικά εντός του δικτύου ενός στόχου ή να παραδώσουν επιπλέον κακόβουλο λογισμικό.
Αφού εγκατασταθούν σε ένα server δίνουν τη δυνατότητα στον ιδιοκτήτη τους να αλληλεπιδράσουν με τον παραβιασμένο server και αποκτήσουν πρόσβαση στο σύστημα αρχείων του (filesystem). Τα περισσότερα web shells επιτρέπουν τη μετονομασία, την αντιγραφή, τη μετακίνηση ακόμη και την επεξεργασία ή τη μεταφόρτωση αρχείων στον server. Και φυσικά μπορούν να κλέψουν δεδομένα από τον server.
Οι hackers εκμεταλλεύονται ευπάθειες του λειτουργικού ενός server, αλλά και των web εφαρμογών που υπάρχουν σε αυτό, για να παραβιάσουν και να εγκαταστήσουν web shells σε αυτόν. Τα web shells μπορούν να γραφτούν σε οποιαδήποτε γλώσσα προγραμματισμού. Αυτό επιτρέπει στους hackers να τα κρύψουν μέσα στον κώδικα οποιουδήποτε site που ανεβαίνει σε ένα server, γεγονός που δυσκολεύει την ανίχνευσή τους, χωρίς τουλάχιστον τη βοήθεια ενός web firewall ή ενός web malware scanner.
Συνήθως μαζί με κάποιο web shell υπάρχει και ένα backdoor script. Όταν οι επιτιθέμενοι καταφέρουν και παραβιάσουν ένα server, φροντίζουν να εδραιώσουν την παρουσία τους όσο τον δυνατόν καλύτερα. Μαζί με το web shell εγκαθιστούν και ένα backdoor, για να μπορούν να ξαναμολύνουν τον server στην περίπτωση που ανακαλυφθεί το web shell και αφαιρεθεί.
Τι είδε η VISA;
Η εταιρεία διαπίστωσε μία μεγάλη ανάπτυξη από skimmers γραμμένα σε γλώσσα Javascript, τα οποία μόλις αναπτυχθούν επιτρέπουν στους απατεώνες να κλέψουν την πληρωμή και τα προσωπικά στοιχεία πελατών που υπάρχουν σε διαδικτυακά καταστήματα και να τα στείλουν σε διακομιστές υπό τον έλεγχό τους.
Όπως διαπίστωσε η VISA, ως επί το πλείστον χρησιμοποιήθηκαν τα κελύφη ιστού για την τοποθέτηση Magecart σε παραβιασμένους διαδικτυακούς διακομιστές καταστημάτων. Τα κελύφη ιστού δημιούργησαν μια υποδομή εντολών και ελέγχου, που επέτρεψε στους απατεώνες να διεισδύσουν στις πληροφορίες των πιστωτικών καρτών.
Οι εισβολείς χρησιμοποίησαν πολλαπλές μεθόδους για να παραβιάσουν τους διακομιστές των διαδικτυακών καταστημάτων, συμπεριλαμβανομένων τρωτών σημείων σε μη ασφαλή διοικητική υποδομή, προσθήκες εφαρμογών που σχετίζονται με το ηλεκτρονικό εμπόριο και παλιές, μη ενημερωμένες πλατφόρμες ηλεκτρονικού εμπορίου.
Τα Κελύφη Ιστού χρησιμοποιούνται όλο και περισσότερο σε διακομιστές backdoor
Τον Φεβρουάριο, τα ευρήματα της VISA επιβεβαιώθηκαν από την ομάδα Microsoft Defender Advanced Threat Protection (ATP), η οποία δήλωσε ότι ο αριθμός των web shells που αναπτύχθηκαν σε παραβιασμένους διακομιστές έχει σχεδόν διπλασιαστεί από το προηγούμενο έτος.
Οι ερευνητές ασφάλειας της εταιρείας ανακάλυψαν κατά μέσο όρο κάθε μήνα 140.000 τέτοια κακόβουλα εργαλεία σε παραβιασμένους διακομιστές, για ένα διάστημα μεταξύ Αυγούστου 2020 έως Ιανουαρίου 2021
Συγκριτικά, η Microsoft δήλωσε σε μια έκθεση του 2020, ότι ανίχνευσε κατά μέσο όρο 77.000 κελύφη ιστού κάθε μήνα, με βάση δεδομένα που συλλέχθηκαν από περίπου 46.000 διαφορετικές συσκευές μεταξύ Ιουλίου και Δεκεμβρίου 2019.
Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ (NSA) προειδοποίησε επίσης σε μια κοινή έκθεση που εκδόθηκε μαζί με την Αυστραλιανή Διεύθυνση Σημάτων (ASD) τον Απρίλιο του 2020, για κακοποιούς που απειλούν να κλιμακώσουν τις επιθέσεις τους σε ευπαθείς διακομιστές backdoor, με την ανάπτυξη κελυφών ιστού.
Σύμφωνα με την VISA η χρήση web shells για τη διευκόλυνση των επιθέσεων e-Skimming πιθανότατα θα συνεχιστεί, ειδικά καθώς οι περιορισμοί σχετικά με το εμπόριο και την φυσική παρουσία στα καταστήματα παραμένουν σε ισχύ, εν όψη της πανδημίας Covid-19.