22/12/20
Список из десятков online-магазинов, взломанных web-скимминговой группировкой, случайно утек через установщик трояна для удаленного доступа (RAT).
Злоумышленники устанавливают RAT на сайты электронной коммерции для сохранения персистентности и повторного доступа к скомпрометированным ресурсам и серверам. Получив доступ к online-магазину, они развертывают скимминговые скрипты для похищения персональных и банковских данных (атаки, известные как Magecart).
По словам специалистов ИБ-компании Sansec, вредоносное ПО доставляется в виде 64-битного исполняемого файла ELF с помощью установщика, написанного на PHP. Для обхода обнаружения и анализа RAT маскируется под демон DNS- или SSH-сервера, поэтому не выделяется в списке процессов сервера. В течение почти всего дня вредонос находится в спящем режиме, «просыпаясь» только один раз – в 7 утра, чтоб подключиться к своему C&C-серверу для получения команд.
Несмотря на сложность вредоносного ПО, киберпреступники все-таки допустили одну ошибку – включили список взломанных online-магазинов в код загрузчика. Исследователи взломали загрузчик и обнаружили в нем список из 41 скомпрометированного сайта.
Поскольку в коде загрузчика используются нехарактерные для PHP (а более характерные для C) общие блоки памяти, можно предположить, что у его автора мало опыта работы с PHP. Этой неопытностью разработчика может объясняться включение списка взломанных сайтов в код загрузчика.
Исследователи связались с владельцами online-магазинов из списка и сообщили им о проблеме.
