SOS :: Security Operation Space
14 ноября, среда, 00:00
|
Hot News:

Злоумышленники научились повторно заражать сайты на Magento

21 июня 2018 г., четверг, 13:56

Скрипт для кражи паролей и данных банковских карт внедряется на каждую страницу интернет-магазина даже после удаления.

Специалисты по информационной безопасности из компании Sucuri выяснили, как злоумышленникам удается повторно заражать сайты под управлением CMS Magento. Киберпреступники внедряют скрипт для кражи паролей и данных банковских карт в файл config.php, к которому Magento обращается при формировании каждой страницы. Таким образом, вредоносный код снова загружается на ресурс.

Злоумышленники добавили 54 новые строки в файл конфигурации Magento, чтобы загружать со своего сайта полезную нагрузку. Сторонний скрипт очень трудно обнаружить при помощи обычных средств безопасности веб-ресурсов, поскольку благодаря обфускации алгоритм выглядит, как легитимная часть кода.

В первую очередь скрипт отключает вывод сообщений об ошибках, скрывая свою деятельность от администратора. Далее программа создает функцию, которая будет внедрять на страницы взломанного ресурса сторонний код. Она определяет место установки зловреда, имя создаваемого файла и другие параметры.

Адрес сайта, откуда будет загружена вредоносная программа, собирается из нескольких частей и поэтому не может быть обнаружен средствами защиты. В качестве источника полезной нагрузки выступает ресурс pastebin[.]com, откуда на скомпрометированную страницу внедряется скрипт для кражи паролей и номеров банковских карт.

Файл config.php формируется Magento автоматически. При попытке открыть его система выводит на экран предупреждение, не рекомендуя вносить в него изменения. Поэтому большинство администраторов веб-ресурсов не проверяют содержащийся там код. Исследователи подчеркивают, что таким способом может быть скомпрометирована любая CMS.

Под управлением Magento работает более 300 тыс. веб-ресурсов. CMS, ориентированная на интернет-торговлю, является желанной целью для злоумышленников. В апреле этого года мошенники подобрали пароли к примерно 1000 сайтам на этой платформе, чтобы похитить номера банковских карт клиентов онлайн-магазинов.

Ранее исследователи из Sucuri обнаружили эксплойт в одном из компонентов Magento. При помощи плагина SF9 Realex пользователи могли сохранять свои платежные реквизиты для повторных покупок. Вредоносный код перехватывал данные банковских карт и отправлял их злоумышленникам.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:07
15:03
14:15
13:15
12:35
12:15
11:29
10:15
10:15
09:15
08:15
07:15
07:15
06:15
06:07
17:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.156
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.