کارت اعتباری اسکیمر توسط محققان امنیتی در Sucuri کشف شد که توصیه میکنند این بدافزار از یک جدول پایگاه داده، cms_block.content بارگذاری شده است. اسکریپت Google Tag Manager (GTM) در یک وبسایت عادی به نظر میرسد زیرا اسکریپت مخرب به گونهای کدگذاری شده است که از شناسایی فرار کند.
هنگامی که بدافزار فعال بود، اطلاعات کارت اعتباری را از یک صفحه پرداخت تجارت الکترونیک Magento ثبت میکرد و آن را به یک سرور خارجی کنترل شده توسط یک هکر ارسال میکرد. محققان امنیتی Sucuri همچنین یک فایل PHP درب پشتی کشف کردند. فایلهای PHP “بلوکهای ساختمانی” بسیاری از وبسایتهای پویا هستند که بر روی پلتفرمهایی مانند Magento، WordPress، Drupal و Joomla ساخته شدهاند. بنابراین، یک فایل PHP بدافزار، پس از تزریق، میتواند در سیستم مدیریت محتوا عمل کند. این فایل PHP است که محققان شناسایی کردهاند: ./media/index.php. طبق اطلاعیهای که در وبسایت Sucuri منتشر شده است: “در زمان نوشتن این مقاله، دریافتیم که حداقل ۶ وبسایت در حال حاضر به این شناسه خاص Google Tag Manager آلوده هستند که نشان میدهد این تهدید به طور فعال چندین سایت را تحت تأثیر قرار میدهد. eurowebmonitortool[.]com در این کمپین مخرب استفاده میشود و در حال حاضر توسط ۱۵ فروشنده امنیتی در VirusTotal مسدود شده است.”
VirusTotal.com یک سرویس امنیتی جمعسپاری شده است که اسکن رایگان فایل را ارائه میدهد و به عنوان یک تجمیع کننده اطلاعات عمل میکند. Sucuri مراحل زیر را برای پاکسازی یک وبسایت آلوده توصیه میکند: “هرگونه تگ GTM مشکوک را حذف کنید. وارد GTM شوید، هرگونه تگ مشکوک را شناسایی و حذف کنید. یک اسکن کامل وبسایت را برای شناسایی هرگونه بدافزار یا درب پشتی دیگر انجام دهید. هرگونه اسکریپت مخرب یا فایل درب پشتی را حذف کنید. اطمینان حاصل کنید که Magento و همه افزونهها با پچهای امنیتی بهروز هستند. به طور منظم ترافیک سایت و GTM را برای هرگونه فعالیت غیرعادی بررسی کنید.”
Shortlink for this post: https://blog.talahost.com/?p=1896