ИБ-эксперт из Нидерландов Уиллем де Грут (Willem de Groot) обнаружил вредоносную кампанию, направленную на кражу данных при онлайн-шопинге. Жертвами мошенников уже стали клиенты более чем 7,3 тыс. интернет-магазинов, причем количество площадок каждый день увеличивается на 50-60.

Атаки построены на использовании зловредного скрипта MagentoCore, играющего роль онлайн-скиммера. Подобно физическим устройствам, которые считывают магнитную ленту пластиковых карт, этот вредонос перехватывает данные на страницах для оформления онлайн-покупок. Информация затем отправляется на удаленный сервер — по информации де Грута, он зарегистрирован в Москве.

Чтобы встроить код в интернет-магазин, преступникам приходится сначала взломать сайт и получить доступ к панели управления. Эксперт уточняет, что в большинстве случаев им удается сделать это через перебор паролей. Далее они прячут зловредный скрипт среди легитимных файлов.

В дополнение к основной функции MagentoCore умеет блокировать «конкурентное» ПО, если обнаруживает его на взломанном ресурсе. Еще одна опция позволяет зловреду догружать компоненты через бэкдор, удаляя по окончании все следы своей активности.

Отмечается, что от взлома пострадали некоторые крупные компании с оборотом в несколько миллионов долларов. По открытым данным, на момент публикации вредоносный скрипт встроен в более чем 5,2 тыс. страниц.

Голландский эксперт обнаружил угрозу, когда изучал другую масштабную кампанию под названием MageCart. Аналитики связывают с ней сразу несколько громких инцидентов в области электронной коммерции, начиная с 2015 года. В частности, в июне стоящие за этими атаками злоумышленники скомпрометировали более 800 интернет-ресурсов, включая сайт крупнейшего в мире продавца билетов на развлекательные мероприятия Ticketmaster.

Де Грут рекомендует администраторам интернет-магазинов тщательно проверить все возможные векторы атак:

«Проанализируйте журналы подключений к бэкенду и сопоставьте их с рабочими часами ваших сотрудников. Если подозрительная активность идет с корпоративных IP, это может говорить о заражении рабочего компьютера или перехвате злоумышленником легитимной сессии. Найдите бэкдоры и следы несанкционированных изменений в базах данных. Когда вы определите все точки нежелательного доступа, закройте их разом».

При обнаружении вредоносного кода необходимо восстановить гарантированно безопасную резервную копию. Эксперт уточняет, что подобное ПО часто прячется в HTML-футерах или скрытом JavaScript. Чтобы найти его, нужно тщательно проверять, какие элементы загружаются на странице оплаты.

Ранее в июне ИБ-специалисты обнаружили целую серию опасных WordPress-плагинов, которые пользуются популярностью у электронных торговых площадок. Зловредное ПО использовалось для загрузки кейлоггеров, криптомайнеров и кражи персональных данных.

Категории: Вредоносные программы, Мошенничество