Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вредоносное ПО из арсенала Magecart случайно раскрыло список взломанных сайтов

22/12/20

magecart-2Список из десятков online-магазинов, взломанных web-скимминговой группировкой, случайно утек через установщик трояна для удаленного доступа (RAT).

Злоумышленники устанавливают RAT на сайты электронной коммерции для сохранения персистентности и повторного доступа к скомпрометированным ресурсам и серверам. Получив доступ к online-магазину, они развертывают скимминговые скрипты для похищения персональных и банковских данных (атаки, известные как Magecart).

По словам специалистов ИБ-компании Sansec, вредоносное ПО доставляется в виде 64-битного исполняемого файла ELF с помощью установщика, написанного на PHP. Для обхода обнаружения и анализа RAT маскируется под демон DNS- или SSH-сервера, поэтому не выделяется в списке процессов сервера. В течение почти всего дня вредонос находится в спящем режиме, «просыпаясь» только один раз – в 7 утра, чтоб подключиться к своему C&C-серверу для получения команд.

Несмотря на сложность вредоносного ПО, киберпреступники все-таки допустили одну ошибку – включили список взломанных online-магазинов в код загрузчика. Исследователи взломали загрузчик и обнаружили в нем список из 41 скомпрометированного сайта.

Поскольку в коде загрузчика используются нехарактерные для PHP (а более характерные для C) общие блоки памяти, можно предположить, что у его автора мало опыта работы с PHP. Этой неопытностью разработчика может объясняться включение списка взломанных сайтов в код загрузчика.

Исследователи связались с владельцами online-магазинов из списка и сообщили им о проблеме.

Темы:Онлайн-торговляПреступленияMagecartRAT
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...