Chúng tôi thường tìm các tập lệnh mail trong khi quét mã độc từ các trang web. Một trong số đó dễ dàng bị phát hiện, trong khi một số khác thì bị mã hoá hoặc bị mã hoá nhiều. Những “mail” này cho phép các kẻ xấu gửi các email không mong muốn từ tên miền của bạn và có thể được kích hoạt thông qua việc lạm dụng một phần mở rộng dễ bị tấn công hoặc các tập lệnh phần mềm độc hại tiềm ẩn ở backdoor. Dưới đây chúng tôi sẽ giới thiệu một ví dụ điển hình của $_POST mail đánh cắp dữ liệu CC.

$_POST mail xuất hiện từ “Boss”

Trong quá trình điều tra gần đây, chúng tôi đã gặp phải một người gửi thư rất đơn giản mà đã thu hút sự chú ý của chúng tôi – không phải vì nó là rất thú vị từ quan điểm mã, nhưng vì chủ đề đã được sử dụng.

$headers = "From: Boss";

Người gửi thư này đã lấy cắp dữ liệu thẻ tín dụng từ một trang web và gửi đến một tài khoản gmail. Trong trường hợp này, một tên biến $ _POST đã thu được bằng tập lệnh và sau đó được gửi đến địa chỉ của kẻ tấn công.

Dấu hiệu kỹ thuật xã hội

An ninh là tất cả về việc biết cái gì – và ai – để tin tưởng.

Trong trường hợp của các chiến thuật kỹ thuật xã hội, kẻ tấn công có thể sử dụng thông tin thu được từ quản trị viên trang web hoặc người dùng thông qua lừa đảo giả mạo, hồ sơ trực tuyến hoặc mật khẩu trước đó liên quan đến địa chỉ email người dùng. Những vụ tấn công này cũng có thể đến từ các nhân viên hiện tại (và trước đây) trong công ty.

Sau khi kiểm tra tệp này, chúng ta có thể suy đoán rằng một nhà phát triển PHP đã viết phần mềm độc hại sau khi bị sa thải, hoặc bỏ công ty. Hắn ta sẽ triển khai mail bằng cách sử dụng một backdoor đã được cài, trước khi hắn rời công ty. Giả thuyết này cũng có thể giải thích chủ đề mà kẻ tấn công đã quyết định sử dụng trong chiến dịch của mình.

Mã $_POST mail đơn giản

Đây là mã đầy đủ của mail đơn giản, đã được che dấu như là một tập tin hợp pháp bên trong cấu trúc trang web:

Mã đầy đủ của $_POST mail đơn giản
Mã đầy đủ của $_POST mail đơn giản

Qua nhiều năm, chúng tôi đã khám phá ra nhiều mã thú vị, sự mã hóa, sự rắc rối, <titles> của các trang web bị lừa đảo. Dòng chủ đề trong sự cố đặc biệt này nhắc tôi nhớ rằng một số hacker không thể che dấu được mức trưởng thành của họ – và kẻ tấn công này rõ ràng nghĩ rằng ông là “Boss” với kịch bản thư đơn giản của mình.

Kết luận

Các tập lệnh mail không mong muốn có thể lạm dụng tài nguyên máy chủ và tàn phá bằng cách phân phối phần mềm độc hại, ăn cắp thông tin nhạy cảm, phân phối chiến dịch lừa đảo hoặc các hành vi bất chính khác.

Nếu bạn tin rằng trang web của mình đã bị xâm nhập hoặc có thể đang phục vụ các email không mong muốn với tên miền của bạn thì chúng tôi có thể đưa cho bạn gợi ý về Top 5 công cụ quét lỗ hổng bảo mật ứng dụng web sẽ hỗ đỡ bạn trong việc ngăn chặn sự lợi dụng của những mail này.

Bình luận