Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая уязвимость в Magento позволяет внедрять неудаляемего похитителя данных карт

23/07/24

images - 2024-07-23T121349.069

Исследователи из компании Sucuri обнаружили новый метод кражи данных на платформе электронной коммерции Magento. Злоумышленники используют Swap-файлы (файлы-подкачки) для внедрения устойчивого шпионского ПО, похищающего данные кредитных карт. Выявленный способ внедрения резко повышает живучесть вредоносного кода в заражённой системе, позволяя ему без особых проблем переживать многочисленные попытки удаления, пишет Securitylab.

В рассмотренной вредоносной кампании на странице оформления заказа исследователями был обнаружен скрипт, содержащий закодированные переменные и строки. Декодирование показало, что скрипт отслеживал данные кредитных карт. При нажатии на кнопку оформления заказа скрипт собирал введённые данные с помощью функции querySelectorAll.

Злоумышленники использовали домен «amazon-analytic[.]com» для передачи украденных данных. Этот домен был зарегистрирован в феврале 2024 года и уже использовался в других кампаниях кражи кредитных карт. Использование популярных брендов в доменных именах помогает злоумышленникам избегать подозрений и обнаружения.

Дальнейшее расследование показало, что файл «bootstrap.php» на сайте Magento был полностью заменён преступниками. Декодирование содержимого показало тот же вредоносный скрипт, который был обнаружен на странице оформления заказа. Вредоносный код использовал функцию curl для передачи данных на внешний сервер.

Удаление вредоносного ПО оказалось сложной задачей. Несмотря на замену заражённого файла на чистую версию с последующей очисткой кэшей, вредоносный скрипт продолжал загружаться на странице оформления заказа. И даже при прямом просмотре файла через SSH он казался чистым, однако инструменты для очистки от вредоносного ПО всё равно показывали наличие инфекции.

Причиной этого была скрытая версия файла «bootstrap.php», созданная при редактировании через SSH. Этот временный Swap-файл содержал тот же вредоносный код, что и оригинальный файл. Удаление скрытого Swap-файла и повторная очистка кэшей позволили окончательно очистить страницу оформления заказа.

Этот случай подчёркивает важность комплексных мер безопасности, выходящих за рамки поверхностных сканирований и очисток. Ограничение административного доступа к доверенным IP-адресам, регулярное обновление систем управления контентом и плагинов, а также использование межсетевых экранов помогут снизить риск заражения.

Темы:Онлайн-торговляУгрозыMagentoSucuri
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...