Популярная CMS-система Magento в очередной раз оказалась в центре внимания специалистов по информационной безопасности. Новая атака затронула не менее 1000 сайтов, работающих на этой платформе. Киберпреступники использовали простые, но эффективные методы взлома, чтобы похитить номера банковских карт посетителей скомпрометированных ресурсов.

Внимание злоумышленников к Magento объяснимо — это одна из самых популярных в мире систем управления интернет-магазинами. Как заявляют авторы CMS, ее используют около 250 тыс. сайтов. Эксперты утверждают, что с 2016 года платформа вызывает живой интерес на хакерских форумах дарквеба.

Очередная атака, зафиксированная Flashpoint, затронула в первую очередь сайты из США и Европы. Злоумышленники не стали усложнять себе задачу, применив старый и проверенный метод подбора пароля для того, чтобы получить доступ к административной панели онлайн-магазина.

Взяв сайт под контроль, киберпреступники внедряют вредоносный код, позволяющий получить доступ к страницам, ответственным за обработку финансовых транзакций. Этот скрипт перехватывает POST-запросы к серверу, содержащие данные банковских карт и другую конфиденциальную информацию, и перенаправляет их злоумышленникам.

Помимо этого, мошенники используют скомпрометированные Magento-ресурсы для установки программ генерации криптовалюты на компьютеры посетителей сайта. Цепочка заражения начинается с эксплойта, замаскированного под обновление Adobe Flash Player; после его отработки запускается JavaScript , загружающий похититель информации AZORult, который в свою очередь загружает майнер под названием Rarog.

Как сообщает Security Week, на данный момент известно о не менее чем 1000 скомпрометированных сайтов. Под удар попали в первую очередь коммерческие структуры, работающие в сфере образования и здравоохранения. По словам исследователей, аккаунты, используемые для размещения вредоносных файлов, активны как минимум с 2017 года. Злоумышленники действовали осторожно и регулярно обновляли свои файлы, чтобы подозрительная активность не была обнаружена антивирусами и средствами поведенческого анализа.

Magento не в первый раз испытывает проблемы с безопасностью. В прошлом году стало известно о неприятной уязвимости в одном из популярных плагинов для этой системы управления контентом. Вредоносный код для кражи банковских карт был внедрен в модуль SF9 Realex, предназначенный для хранения платежных данных постоянных покупателей. Чуть ранее сайты под управлением Magento подверглись атаке шифровальщика KimcilWare. В результате несколько онлайн-магазинов получили требования выкупа от $140 до $415 за расшифровку файлов.

Категории: Вредоносные программы, Главное, Хакеры