Десятки расширений для CMS Magento содержат уязвимости, используемые злоумышленниками из группировки Magecart для установки онлайн-скиммеров. Голландский аналитик Уиллем де Грут (Willem de Groot) нашел более двадцати плагинов, имеющих непропатченные бреши, через которые киберпреступники похищают данные банковских карт клиентов интернет-магазинов. Специалист попытался связаться с авторами проблемных приложений, однако в большинстве случаев не получил ответа.

Как пояснил эксперт, для атаки используются уязвимости платформы, допускающие проведение PHP‑инъекции. Команда Magento залатала эти бреши патчем SUPEE-8788 еще в октябре 2016 года. Проблема кроется в функции unserialize(), которая позволяет внедрять в исполняемый код сторонний PHP‑апплет. Разработчики движка заменили ее на json_decode(), однако авторы многих популярных расширений для CMS до сих пор не обновили свои проекты.

Исследователь выяснил, что Magecart сканирует Интернет в поиске сайтов, содержащих уязвимые расширения, и взламывает их, добавляя свой код в алгоритм оплаты. В процессе оформления заказа вредоносный JavaScript отображает фальшивое окно для ввода данных банковской карты, которые в дальнейшем пересылает злоумышленникам. После отправки сведений фишинговый диалог закрывается, а пользователь получает возможность внести свои платежные реквизиты повторно — на этот раз через легитимную форму магазина.

По результатам быстрого поиска в Сети ИБ-специалист обнаружил 27 интернет-магазинов со взломанными системами приема платежей. Уиллем де Грут также выявил 21 плагин, использующий функцию unserialize() и допускающий внедрение стороннего кода. Часть из них были брошены своими авторами, а в ряде случаев разработчиков установить не удалось. На данный момент создатели лишь семи проблемных расширений выпустили патчи или пообещали сделать это в ближайшем будущем.

В сентябре этого года исследователь из Нидерландов обнаружил более масштабную кампанию, направленную на онлайн-магазины под управлением Magento. Как выяснил эксперт, более 7 тыс. подобных сайтов содержат код скиммера, похищающего данные банковских карт. В отличие от группировки Magecart, злоумышленники не использовали уязвимости программного обеспечения, а применяли брутфорс-атаки для взлома целевых ресурсов. Киберпреступники внедряли на скомпрометированную площадку скрипт MagentoCore.

Категории: Хакеры