Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вредоносное ПО из арсенала Magecart случайно раскрыло список взломанных сайтов

22/12/20

magecart-2Список из десятков online-магазинов, взломанных web-скимминговой группировкой, случайно утек через установщик трояна для удаленного доступа (RAT).

Злоумышленники устанавливают RAT на сайты электронной коммерции для сохранения персистентности и повторного доступа к скомпрометированным ресурсам и серверам. Получив доступ к online-магазину, они развертывают скимминговые скрипты для похищения персональных и банковских данных (атаки, известные как Magecart).

По словам специалистов ИБ-компании Sansec, вредоносное ПО доставляется в виде 64-битного исполняемого файла ELF с помощью установщика, написанного на PHP. Для обхода обнаружения и анализа RAT маскируется под демон DNS- или SSH-сервера, поэтому не выделяется в списке процессов сервера. В течение почти всего дня вредонос находится в спящем режиме, «просыпаясь» только один раз – в 7 утра, чтоб подключиться к своему C&C-серверу для получения команд.

Несмотря на сложность вредоносного ПО, киберпреступники все-таки допустили одну ошибку – включили список взломанных online-магазинов в код загрузчика. Исследователи взломали загрузчик и обнаружили в нем список из 41 скомпрометированного сайта.

Поскольку в коде загрузчика используются нехарактерные для PHP (а более характерные для C) общие блоки памяти, можно предположить, что у его автора мало опыта работы с PHP. Этой неопытностью разработчика может объясняться включение списка взломанных сайтов в код загрузчика.

Исследователи связались с владельцами online-магазинов из списка и сообщили им о проблеме.

Темы:Онлайн-торговляПреступленияMagecartRAT
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...