Recentemente, è stato osservato un nuovo metodo di attacco che prende di mira i siti di e-commerce basati su Magento, utilizzando file di swap per nascondere un skimmer di carte di credito. Questo skimmer furtivo, individuato da Sucuri, è stato trovato nella pagina di checkout di un sito Magento compromesso, permettendo al malware di sopravvivere a diversi tentativi di pulizia.

Il malware è stato progettato per catturare tutti i dati inseriti nel modulo di pagamento del sito e trasferire i dettagli a un dominio controllato dagli attaccanti chiamato "amazon-analytic[.]com", registrato a febbraio 2024. La scelta di un nome di dominio che evoca un marchio noto è una tattica comune utilizzata dai malintenzionati per evitare di essere rilevati.

Uno degli aspetti più ingegnosi di questo attacco è l'uso dei file di swap. Quando i file vengono modificati direttamente tramite SSH, il server crea una versione temporanea "swap" per prevenire la perdita totale dei contenuti in caso di crash dell'editor. Gli attaccanti hanno sfruttato questa funzionalità per mantenere il malware presente sul server, evitando i metodi di rilevamento standard.

Non è ancora chiaro come sia stato ottenuto l'accesso iniziale al sito in questo specifico caso, ma si sospetta che possa essere avvenuto attraverso l'uso di SSH o di altre sessioni terminali. Questo metodo di attacco è solo uno degli esempi di come i cybercriminali stiano diventando sempre più sofisticati nel nascondere la loro presenza e nel persistere nei sistemi compromessi.

Parallelamente, è stato rilevato che account amministratore compromessi su siti WordPress sono utilizzati per installare un plugin dannoso che si maschera come il legittimo plugin Wordfence. Questo plugin malevolo ha la capacità di creare utenti amministratori falsi e disabilitare Wordfence, dando l'impressione che tutto funzioni correttamente. Perché il plugin dannoso possa essere stato caricato sul sito, il sito stesso doveva già essere compromesso, ma questo malware potrebbe sicuramente servire come vettore di reinfezione.

Per proteggere i propri siti, i proprietari sono consigliati di limitare l'uso di protocolli comuni come FTP, sFTP e SSH a indirizzi IP fidati, e di mantenere aggiornati i sistemi di gestione dei contenuti e i plugin. È inoltre raccomandato abilitare l'autenticazione a due fattori (2FA), utilizzare un firewall per bloccare i bot e implementare ulteriori misure di sicurezza nel file wp-config.php come DISALLOW_FILE_EDIT e DISALLOW_FILE_MODS.