Новый скриптовый блокер, нареченный KimcilWare, шифрует файлы на сайтах, использующих платформу электронной коммерции Magento. Этой системе управления интернет-магазинами доверились многие лидеры рынка коммерции, в частности Vizio, Olympus и Nike.

По свидетельству MalwareHunterTeam, злоумышленники внедряют KimcilWare на серверы, эксплуатируя уязвимости в Magento. После запуска вредоносный скрипт шифрует файлы сайтов AES-ключом, а затем требует выкуп в размере от $140 до $415 — в биткойнах.

Согласно статистике Magento, на настоящий момент ее популярную e-commerce-платформу используют свыше 200 тыс. компаний. Тем не менее представители Magento заявили Threatpost, что злоумышленники, скорее всего, не нацелены на их продукт, а просто используют «уязвимости, повсеместно присутствующие в серверах».

«В Сети циркулируют сообщения о криптоблокере, ориентированном на Magento-магазины, однако мы не думаем, что это новый вектор атаки, — сказано в письменном заявлении Magento. — Непохоже также, что данная проблема свойственна лишь Magento».

Исследователи из MalwareHunterTeam обнаружили 10 сайтов, атакованных KimcilWare. Первая из известных атак произошла 11 февраля, о ней все узнали благодаря публикации на iZone-h, автором которой MalwareHunterTeam считает самого хакера. Несколько позже, 3 марта, о своем столкновении с KimcilWare поведал миру один из клиентов Magento.

Представители вендора подвергли сомнению данные MalwareHunterTeam, заявив, что им известно лишь о четырех сайтах — жертвах этого блокера и роста случаев заражения пока не зафиксировано.

Статистики по версиям Magento, используемым пострадавшими, у MalwareHunterTeam нет, однако в одном из случаев было установлено, что сайт-жертва работает с новейшими патчами на платформе. Уязвимость, послужившую причиной этого заражения, определить не удалось из-за отсутствия данных о конфигурации сервера.

«Нам не удалось выяснить, использует сайт общий хостинг или нет, — признались исследователи в ответном письме Threatpost. — Если хостинг общий и совместный доступ настроен плохо, атакующие могут легко просочиться через любую брешь на сервере».

На форуме пользователей Magento один из клиентов компании пишет, что установил на сервере чистую, актуальную версию Magento, но это не спасло его в случае с KimcilWare. Пользователь полагает, что в заражении повинно установленное на сайте расширение Vimeo Video Gallery производства Helios Solutions.

Представители Magento поспешили опровергнуть и это предположение. «Мы на всякий случай удалили это расширение и провели скан на наличие вредоносного кода, однако признаков заражения не обнаружили», — сказано в их письме.

Кто стоит за этими атаками и как они проникают на платформу Magento, достоверно пока неизвестно. MalwareHunterTeam удалось нарыть лишь пару возможных подсказок. Так, например, атакующие получают доступ к серверам через командную оболочку, что может служить признаком автоматизированной атаки. «Если шелл благополучно установлен, хакер получает соответствующее письмо», — поясняют исследователи.

Обнаружить результаты деятельности KimcilWare просто — по расширению .kimcilware, которое он присваивает всем зашифрованным файлам. По свидетельству BleepingComputer, вымогатель также подменяет содержимое файлов index.html сообщением с требованием выкупа. Другой скрипт, также обнаруженный исследователями, добавлял расширение .locked и создавал собственный текстовый файл для отображения требований.

Авторство KimcilWare точно не установлено, хотя и BleepingComputer, и MalwareHunterTeam полагают, что это преемник криптоблокера с открытым исходным кодом, известного как Hidden Tear. Этого блокера создал турецкий ИБ-исследователь Утку Сен (Utku Sen), который в августе 2015 года выложил его на GitHub — исключительно с образовательной целью. К сожалению, эта публикация породила массу вариантов зловреда, которые начали работать на преступников.

Представители Magento также сообщили Threatpost, что все возможные патчи для их софта уже установлены. «Мы регулярно обновляем информацию в Security Center о потенциальных проблемах с безопасностью и рекомендуем коммерческим предприятиям почаще проверять наличие таких новостей», — гласит ответное письмо Magento.

Категории: Вредоносные программы