Злоумышленники из группировки Magecart резко повысили свою активность, увеличив количество атак в сентябре более чем вдвое по сравнению с предыдущим месяцем. По оценкам экспертов, в настоящий момент под контролем преступников находятся более 1000 доменов.

Свое название группировка получила благодаря атакам на сайты, использующие платформу для электронной торговли  CMS. Взломщики внедряют в онлайн-корзины вредоносный скрипт, который позволяет им перехватывать клиентские платежные данные. Эксперты смогли отследить путь информации до сервера, расположенного в Иркутске.

Только за последние несколько месяцев преступники смогли взломать крупнейшую компанию по продаже билетов Ticketmaster, сервис push-уведомлений Feedify, филиппинскую телекомпанию ABS-CBN и еще тысячи интернет-магазинов. Теперь же эксперты сообщают о сотнях тысяч новых инцидентов, которые были зарегистрированы за период с 13 по 20 августа.

По информации специалистов, из этого числа почти 40% пришлись на неделю с 13 по 20 сентября. В этот период системы защиты зафиксировали 88,5 тысяч атак — на 115% больше, чем месяцем ранее.

На этом фоне ИБ-сообщество объединяет усилия, чтобы помочь свести ущерб от Magecart к минимуму. Независимый эксперт Кевин Бомон (Kevin Beaumont) систематизировал и опубликовал все известные на данный момент индикаторы поражения, по которым владельцы интернет-площадок могут определить наличие зловреда в своей системе. Главный антивирусный аналитик RiskIQ Йонатан Клинсма (Yonathan Klijnsma) сообщил, что компания создала сервера-воронки (sinkholing domains) и рассылает автоматические уведомления жертвам взлома.

Администраторы также могут проверить свой сайт на уязвимость перед атаками с помощью специального сканера от голландского специалиста Виллема де Грута (Willem de Groot). Этот исследователь сегодня является одним из главных экспертов по Magecart — он наблюдает за группировкой с ее первых атак в 2015 году. В конце сентября де Грут добавил собранные Бомоном индикаторы в свой сканер.

Ранее эксперт подготовил для администраторов план для ликвидации угрозы Magecart. Он рекомендует составить список возможных точек вторжения и сопоставить его с журналами действий пользователей. Аномальные события наподобие подключений к базам данных в нерабочее время могут говорить об идущей атаке.

По словам де Грута, преступники нередко получают доступ к панели управления интернет-магазином через подбор паролей. После этого они прячут вредоносный код в HTML-футерах или скрытых JavaScript. Администраторам следует тщательно проверить все элементы, которые загружаются на странице при оплате покупок, вычистить подозрительный код и разом закрыть все возможные точки несанкционированного доступа.

Категории: Вредоносные программы, Главное, Мошенничество, Хакеры