Специалисты по интернет-безопасности обнаружили масштабную кампанию, направленную на онлайн-магазины на базе CMS Magento. Всего за сутки преступники взломали 962 торговые площадки в малом и среднем бизнес-сегментах.

В ходе атак они внедряли на сайт онлайн-скиммер для перехвата платежных данных. В руки участников группировки Magecart, которой приписывают организацию кампании, попали номера, CVV/CVC коды и сроки действия карт, а также контактные данные их владельцев — имена, адреса и телефоны.

По мнению эксперта по безопасности Уиллема де Грута (Willem de Groot), внедрение стороннего кода на сайты происходило автоматизированными методами. Ему вторит независимый ИБ-исследователь @micham, указывая на случай, когда за шесть секунд на взломанном сайте оказалось более 40 посторонних объектов.

На момент публикации в открытых источниках нет данных о методах, которые позволили преступникам разместить вредоносный код. Как уточнил де Грут, несколько ресурсов в принципе не были защищены от внедрения PHP-объектов. В свою очередь, ИБ-специалист Жером Сегура (Jérôme Segura) заявил, что нынешние атаки стартовали еще в июне, когда злоумышленники взломали сеть доставки контента (content distribution network, CDN) Amazon CloudFront. Эта система обеспечивает хостинг библиотек JavaScript, куда якобы и встроили скиммер.

Администраторам интернет-ресурсов стоит проверить площадки на присутствие посторонних элементов. Расшифрованный код скиммера, обнаруженный в нынешних атаках, опубликован на GitHub. При проверке сайта на компрометацию специалисты рекомендуют обратить особое внимание на страницы, которые загружаются при оплате покупок.

Эксперты подчеркивают, что операторы Magecart не ограничиваются одним онлайн-ритейлом — по мере развития угрозы преступники взламывают любые сайты, собирающие конфиденциальную информацию посетителей. Полученные данные применяют в фишинговых кампаниях или атаках с подстановкой учетных данных (credential stuffing).

Ресурсы под управлением CMS Magento традиционно привлекают интерес киберпреступников. По оценкам экспертов, до 90% таких сайтов попадают в категорию повышенного риска, причем за 2017–2018 гг. эта цифра выросла на 7 п. п. Среди недавних примеров уязвимостей — серия опасных багов, которые позволяли перехватывать платежные данные. Дыры присутствовали в коде вплоть до июля 2019-го.

Категории: Вредоносные программы, Хакеры