ИБ-эксперты обнаружили PHP-скрипт, созданный для атак на интернет-магазины на базе CMS Magento. Зловред, амбициозно названный Magento Killer, копирует платежные данные покупателей, а у продавцов крадет поступающие деньги.

Скрипт меняет некоторые значения в таблице базы данных core_config_data, для чего использует SQL-запросы, которые в целях конспирации зашифрованы base64-алгоритмом.

Исследователи обнаружили в коде Magento Killer две вредоносные функции:

  • Процесс UpdateDB меняет настройки сайта таким образом, чтобы данные платежных карт сохранялись на сервере вместо того, чтобы отправляться на процессинговый сервис.
  • Процесс UpdatePP подменяет ассоциируемые с магазином реквизиты PayPal, после чего деньги за покупки поступают злоумышленнику.

Экспертов особо обеспокоила угроза платежным данным, возникающая из-за их локального хранения. Magento обычно шифрует такие сведения, однако ключ можно найти в одной из папок, если имеешь доступ к файловой системе сайта — как в данном случае.

Стоит отметить, что зловред похищает не только банковские реквизиты (номер карты, имя владельца и тому подобное), но и адреса покупателей, их email и прочие конфиденциальные данные. За эти операции отвечают отдельные SQL-запросы, которые вытягивают информацию из внутренних таблиц Magento. Лишние сведения удаляются, а полезный остаток сохраняется в отдельном текстовом файле.

Владельцам площадок на базе Magento рекомендуется снова проверить ресурсы на посторонние элементы. Особую тревогу должны вызвать сбои в работе интернет-корзины, непонятные изменения системных файлов CMS, новые учетные записи — особенно с администраторскими привилегиями. Кроме того, нередко вредоносные аномалии первыми замечают сами покупатели и специалисты хостинг-провайдеров.

Это уже третья проблема с Magento-сайтами за последнюю неделю. Сначала ИБ-специалисты предупредили об уязвимостях CMS, позволяющих перехватывать онлайн-платежи. Баг открывал возможность внедрения стороннего кода в сайт.

Позднее эксперты обнаружили вредоносную кампанию, которая коснулась почти тысячи торговых сайтов. Источником угрозы оказался скиммер, внедряемый на ресурс через не определенные пока дыры.

Категории: Вредоносные программы, Хакеры