威胁行为者滥用了被攻陷的Magento网站中的交换文件（swap files）来隐藏信用卡嗅探器并窃取支付信息。

Sucuri的安全研究人员观察到，威胁行为者在被攻陷的Magento网站中利用交换文件来隐藏一个持久性的软件嗅探器，以窃取支付信息。

攻击者使用这种策略来维持持久性，并让恶意软件在多次清理尝试后仍能存活。

研究人员在被攻陷网站的结账页面上发现了一个可疑脚本，该脚本具有所有典型的恶意软件特征。脚本中包含了base64编码的变量和十六进制编码的字符串。专家们解码了脚本，并确定它被用来捕获信用卡详情。

当点击结账按钮时，一个脚本通过querySelectorAll函数捕获信用卡数据。此脚本还收集敏感信息，如姓名、地址和卡号。被盗的信息被发送到域名amazon-analytic[.]com，该域名注册于2024年2月，已被用于其他信用卡盗窃案件中。攻击者经常在域名中使用知名品牌的名称，试图逃避检测。

在分析恶意脚本时，专家注意到一个有趣的“swapme”文件引用。虽然最初是不可见的，但使用命令揭示了一个包含与感染脚本相同恶意软件的交换文件。攻击者利用这个交换文件来在服务器上保留恶意软件并逃避检测。在移除交换文件并清空缓存后，结账页面变得干净。

“swapme”作为文件名的一部分提示我们可能有些交换文件残留在周围。当文件直接通过SSH编辑时，服务器会创建一个临时的‘swap’版本，以防编辑器崩溃，这可以防止全部内容丢失。”Sucuri发布的报告中写道。

“虽然我们无法通过ls命令看到任何~swapme文件，但通过在bootstrap.php-swapme上运行vi命令直接编辑交换文件，我们发现该文件确实存在，且包含与受感染的bootstrap.php版本完全相同的内容。很明显，攻击者正利用交换文件来保持恶意软件在服务器上的存在，并逃避常规的检测方法。”

攻击者滥用交换文件系统突显了除了基本扫描之外采取更深层次安全措施的必要性。交换文件的存在表明攻击者最初可能是通过SSH或终端会话访问被攻陷的网站。为了防止此类持久性恶意软件感染，应限制sFTP、SSH、FTP和CPanel仅对可信IP开放，配置FTP和SSH限制在托管服务器上，并使用网站防火墙提供额外保护。专家也建议定期更新您的CMS和插件，以避免被自动化攻击工具利用的漏洞。