Платформа для онлайн-коммерции Magento не теряет привлекательности для злоумышленников, промышляющих сбором данных кредитных карт. На прошлой неделе в блоге Sucuri появилась запись о новой неприятной находке: в одном из модулей Magento обнаружена специализированная функция для кражи платежной информации.

Вредоносный код был внедрен в PHP-файл компонента SF9 Realex, помогающего сохранять данные кредитных карт на сайтах с тем, чтобы постоянные клиенты впоследствии могли одним кликом вводить информацию для проведения платежа. Этот модуль обычно интегрируется в системы Realex RealAuth Remote и Redirect — «решения, пользующиеся большой популярностью в Magento-сообществе», как отмечено в блог-записи Бруно Цанелато (Bruno Zanelato).

Обнаруженная исследователем вредоносная функция sendCCNumber() пересылает данные, введенные клиентом, на email-адрес автора атаки, спрятанный в переменной $encode. Примечательно, что для получения идентификатора эмитента (IIN, ранее BIN, идентификатор банка), определяемого первыми шестью цифрами номера карты, злоумышленник обращается на публичный сервис binlist[.]net. Вредоносный код при этом использует переменную $data16 и возвращает значение, закодированное в JSON в виде PHP-переменной соответствующего типа.

«Хищение кредитных карт на Magento сейчас на подъеме, — предупреждает Цанелато. — Хотя приведенная здесь информация относится к Magento, следует понимать, что в аналогичном положении может оказаться любая ecommerce-платформа. По мере развития отрасли будут эволюционировать и атаки, на нее нацеленные».

Вместе с тем исследователь подчеркивает, что никакой уязвимости, провоцирующей кражи, в самой Magento нет. Автор атаки использовал некий баг на Magento-сайте, чтобы скомпрометировать его, а затем уже внедрить скрипт и захватить контроль над SF9 Realex.

Обнаруженная Sucuri атака — новейший в череде зафиксированных ею инцидентов, связанных с использованием Magento. Прошлым летом эксперт компании Сезар Анхос (Cesar Anjos) проанализировал похитителя платежных данных, загруженного из стороннего источника. Эта вредоносная программа вела перехват вводимой информации по типу MitM, находясь в положении между пользователем и страницей оплаты. В октябре другой исследователь из Sucuri, Бен Мартин (Ben Martin), рассказал о недавних атаках с использованием зловредов, которые собирали номера кредиток и выводили их, спрятав в графический файл с нечеткой картинкой (ее иногда даже можно было посмотреть).

В том же месяце RiskIQ опубликовала результаты расследования массовой компрометации ecommerce-сайтов с целью внедрения вредоносного скрипта, загружающего кейлоггер. По данным компании, эти атаки начались еще в марте и были нацелены на кражу вводимых в веб-формы данных на сайтах, использующих Magento, Powerfront CMS или OpenCart.

Категории: вредоносные программы, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *