Atores maliciosos foram observados usando arquivos swap em sites comprometidos para esconder um skimmer de cartão de crédito persistente e coletar informações de pagamento. A técnica furtiva, observada pela Sucuri na página de checkout de um site de e-commerce Magento, permitiu que o malware sobrevivesse a várias tentativas de limpeza, disse a empresa.

O skimmer é projetado para capturar todos os dados inseridos no formulário de cartão de crédito no site e exfiltrar os detalhes para um domínio controlado pelo atacante chamado “amazon-analytic[.]com,” registrado em fevereiro de 2024.

“A tática de utilizar produtos e serviços populares em nomes de domínio é frequentemente usada por atores maliciosos na tentativa de evitar a detecção,” disse o pesquisador de segurança Matt Morrow. Este é apenas um dos muitos métodos de evasão de defesa empregados pelo ator de ameaça, que também inclui o uso de arquivos swap (“bootstrap.php-swapme”) para carregar o código malicioso enquanto mantém o arquivo original (“bootstrap.php”) intacto e livre de malware.

Embora atualmente não esteja claro como o acesso inicial foi obtido neste caso, suspeita-se que envolveu o uso de SSH ou alguma outra sessão de terminal. Os proprietários de sites são aconselhados a restringir o uso de protocolos comuns como FTP, sFTP e SSH a endereços IP confiáveis, bem como garantir que os sistemas de gerenciamento de conteúdo e plugins estejam atualizados.