Cyberthreat.id - Perusahaan pemroses pembayaran global VISA memperingatkan bahwa peretas semakin banyak menggunakan web shell (cangkang web) pada server yang disusupi untuk mengekstraksi informasi kartu kredit yang dicuri dari pelanggan toko online.

Web shell adalah alat (skrip atau program) yang digunakan oleh peretas untuk mendapatkan dan/atau mempertahankan akses ke server yang diretas, menjalankan kode atau perintah dari jarak jauh, bergerak secara lateral dalam jaringan target, atau mengirimkan muatan berbahaya tambahan.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari penggunaan web shell  untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer dapat mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkan datanya ke server yang mereka kendalikan.

"Sepanjang tahun 2020, Gangguan Penipuan Pembayaran Visa (PFD) mengidentifikasi tren di mana banyak serangan eSkimming menggunakan web shell untuk membuat perintah dan kontrol (C2) selama serangan," kata VISA seperti diberitakan Bleeping Computer, Rabu (7 April 2021).

"PFD mengonfirmasi setidaknya 45 serangan eSkimming pada tahun 2020 menggunakan web shell, dan peneliti keamanan juga mencatat peningkatan penggunaannya di ekosistem ancaman keamanan informasi yang lebih luas."

Seperti yang ditemukan VISA, web shell sebagian besar digunakan oleh pelaku ancaman Magecart untuk membuat semacam pintu belakang di server toko online yang diretas dan menyiapkan infrastruktur perintah dan kontrol yang memungkinkan mereka untuk mengekstrak informasi kartu kredit yang dicuri.

Para penyerang menggunakan berbagai metode untuk menerobos server toko online, termasuk kerentanan dalam infrastruktur administratif yang tidak aman, aplikasi / plugin situs web yang terkait dengan eCommerce, dan platform eCommerce yang kedaluwarsa atau belum ditambal.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat diibanding tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu disusupkan dari jarak jauh ke server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Badan Keamanan Nasional AS (NSA) juga memperingatkan dalam laporan bersama yang dikeluarkan dengan Direktorat Sinyal Australia (ASD) pada April 2020 tentang pelaku ancaman yang meningkatkan serangan ke server yang rentan dengan cara menyebarkan web shell.

"Mengidentifikasi taktik, seperti penggunaan web shell, juga membantu mengidentifikasi penyusupan saat eSkimmer tidak terdeteksi di situs web pedagang," kata VISA.[]