FBI: Els pirates informàtics van injectar codi PHP maliciós a les pàgines de pagament en línia per esborrar les dades de la targeta de crèdit

L’Oficina Federal d’Investigacions (FBI) va advertir el 16 de maig de 2022 que els actors d’amenaces van esborrar dades de targetes de crèdit d’una empresa nord-americana injectant codi maliciós de preprocessador d’hipertext (PHP) a les seves pàgines de pagament en línia.

Els atacants van recollir dades de targetes de crèdit des del gener de 2022 i les van enviar a un servidor controlat per un actor d’amenaces que va falsificar un servidor de processament de targetes legítim.

A més, els ciberactors no identificats van obtenir accés a la víctima mitjançant la modificació de dos scripts a la pàgina de pagament en línia de l’empresa.

Van explotar una funció de depuració i transferència de dades, fet que va fer que el sistema descarregués dues intèrprets d’ordres web per a una major explotació.

El codi PHP porta les dades de la targeta de crèdit des de les pàgines de pagament en línia

Tot i que els atacs basats en JavaScript a les pàgines de pagament en línia han rebut més atenció en els darrers anys, el codi PHP maliciós segueix sent la principal font d’activitat de desnatació de targetes.

D’acord amb la firma de ciberseguretat Sucuri, el 41% de les targetes de crèdit descomptes als formularis de pagament en línia es van originar a partir de codi PHP maliciós. A més, Sucuri va descobrir que augmentava la dependència del codi PHP per a l’activitat de rastreig de targetes de crèdit.

A diferència del Javascript del costat del client, PHP s’executa al costat del servidor i pot accedir a les funcions del backend, donant així als atacants més control.

L’accés al sistema de fitxers del servidor permet als pirates informàtics moure’s lateralment a llocs web coallotjats i directoris adjacents. De la mateixa manera, PHP és àmpliament compatible i pot crear fàcilment shells web inversos.

L’FBI no va revelar el nombre de víctimes compromeses mitjançant codi PHP maliciós. No obstant això, l’oficina va revelar que els atacants han intentat esborrar les dades de la targeta de crèdit amb codi PHP d’empreses nord-americanes des del setembre del 2020.

La divulgació de l’FBI suggereix que el nombre de víctimes compromeses mitjançant codi PHP maliciós a les pàgines de pagament en línia és probable que sigui alt.

Recomanacions de l’FBI per mitigar les amenaces en línia

L’FBI va recomanar el protocol de capa de connexió segura (SSL) per a la transferència d’informació, canviar les credencials d’inici de sessió predeterminades i comprovar les sol·licituds realitzades amb sistemes de comerç electrònic en línia per identificar activitats malicioses.

A més, l’oficina va recomanar segmentar els sistemes de xarxa per evitar la propagació de la infecció durant les infraccions reeixides i només descarregar programari de tercers des de llocs de confiança.

L’FBI també va aconsellar a les organitzacions que pedessin els sistemes per detectar vulnerabilitats crítiques, que controlessin els registres d’accés no autoritzat, que reforcessin els requisits de credencials i que habilitessin l’autenticació multifactorial.

Realitzar còpies de seguretat periòdiques i implementar un pla de resposta a incidents també ajudaria les organitzacions a fer front a les amenaces cibernètiques.

L’agència federal d’aplicació de la llei va animar les víctimes a denunciar els sospitosos incidents de ciberseguretat a la seva oficina local de l’FBI.

Kunal Modasiya, director sènior de gestió de productes de PerimeterX, va dir que l’incident va ser un altre intent de robar informació personal i de pagament per frau.

“Aquesta advertència de l’FBI és una que les empreses nord-americanes haurien de prendre’s molt seriosament”, va dir Modasiya. “Un atac de Magecart pel qual els actors dolents van raspar dades de targetes de crèdit en línia injectant codi PHP maliciós a la pàgina de pagament és una altra manera de robar la informació personal personalitzada i les dades de pagament dels clients, abusar de la informació del compte i cometre fraus”.

Va aconsellar a les empreses que mirissin “més enllà de les eines de seguretat del servidor” i adoptessin altres mesures com l’anàlisi de codi estàtic, escàners externs i la limitació de les solucions CSP.

“Les empreses han d’emprar una solució holística que proporcioni visibilitat i control en temps real a la superfície d’atac de la seva cadena de subministrament del costat del client”, va afegir. “També hauria d’identificar vulnerabilitats, detectar comportaments anòmals de JavaScript i comunicació a dominis sospitosos i mitigar de manera proactiva el risc de robatori de dades dels clients”.

L’FBI diu que els #hackers que van esborrar les dades de la targeta de crèdit injectant codi PHP maliciós en una pàgina de pagament en línia es van dirigir a empreses dels EUA des del setembre de 2020. #cybersecurity #respectdataFeu clic per tuitejar

Ron Bradley, vicepresident de Shared Assessments, va aconsellar als propietaris de llocs web que implementessin el seguiment de la integritat de fitxers (FIM) per evitar ser víctimes de l’exploració de dades de targetes de crèdit.

“És un fet ben conegut que les dades de les targetes de crèdit sempre han estat una de les joies de la corona per als estafadors”, va dir Bradley. “És fascinant per a mi quan una empresa té les dades de la targeta compromeses, mentre que fàcilment s’haurien pogut posar en marxa mesures provades”.

Leave a Comment

Your email address will not be published. Required fields are marked *