Le processeur de paiement mondial VISA avertit que les acteurs de la menace déploient de plus en plus de web shells sur des serveurs compromis pour exfiltrer les informations de carte de crédit volées aux clients des boutiques en ligne.

Les shells Web sont des outils (scripts ou programmes) déployés par les acteurs de la menace pour obtenir et / ou maintenir l’accès aux serveurs piratés, exécuter à distance du code ou des commandes arbitraires, se déplacer latéralement dans le réseau d’une cible ou fournir des charges utiles malveillantes supplémentaires.

Coquilles Web utilisées pour exfiltrer les informations écrémées

Tout au long de l’année dernière, VISA a vu une tendance croissante à l’utilisation de shells Web pour injecter des scripts JavaScript connus sous le nom de skimmers de cartes de crédit dans des magasins en ligne piratés lors d’attaques par écrémage Web (également appelées écrémage numérique, e-Skimming ou Magecart).

Une fois déployés, les skimmers leur permettent de voler le paiement et les informations personnelles soumises par les clients des magasins en ligne compromis et de les envoyer aux serveurs sous leur contrôle.

« Tout au long de 2020, la perturbation de la fraude au paiement des visas (PFD) a identifié une tendance selon laquelle de nombreuses attaques d’eSkimming ont utilisé des coquilles Web pour établir un commandement et un contrôle (C2) pendant les attaques », a déclaré VISA.

«PFD a confirmé au moins 45 attaques eSkimming en 2020 à l’aide de web shells, et les chercheurs en sécurité ont également noté une utilisation croissante du web shell dans le paysage plus large des menaces de sécurité de l’information.

Comme VISA PFD l’a découvert, les coquilles Web étaient principalement utilisées par les acteurs de la menace Magecart pour détourner les serveurs de boutique en ligne piratés et mettre en place une infrastructure de commande et de contrôle qui leur permettait d’exfiltrer les informations de carte de crédit volées.

Les attaquants ont utilisé plusieurs méthodes pour violer les serveurs des boutiques en ligne, y compris des vulnérabilités dans l’infrastructure administrative non sécurisée, des plugins d’application / site Web liés au commerce électronique et des plates-formes de commerce électronique obsolètes / non corrigées.

Les shells Web de plus en plus utilisés pour les serveurs de porte dérobée

En février, les résultats de VISA ont été confirmés par Microsoft Defender Advanced Threat Protection …