Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Вредоносное ПО из арсенала Magecart случайно раскрыло список взломанных сайтов

22/12/20

magecart-2Список из десятков online-магазинов, взломанных web-скимминговой группировкой, случайно утек через установщик трояна для удаленного доступа (RAT).

Злоумышленники устанавливают RAT на сайты электронной коммерции для сохранения персистентности и повторного доступа к скомпрометированным ресурсам и серверам. Получив доступ к online-магазину, они развертывают скимминговые скрипты для похищения персональных и банковских данных (атаки, известные как Magecart).

По словам специалистов ИБ-компании Sansec, вредоносное ПО доставляется в виде 64-битного исполняемого файла ELF с помощью установщика, написанного на PHP. Для обхода обнаружения и анализа RAT маскируется под демон DNS- или SSH-сервера, поэтому не выделяется в списке процессов сервера. В течение почти всего дня вредонос находится в спящем режиме, «просыпаясь» только один раз – в 7 утра, чтоб подключиться к своему C&C-серверу для получения команд.

Несмотря на сложность вредоносного ПО, киберпреступники все-таки допустили одну ошибку – включили список взломанных online-магазинов в код загрузчика. Исследователи взломали загрузчик и обнаружили в нем список из 41 скомпрометированного сайта.

Поскольку в коде загрузчика используются нехарактерные для PHP (а более характерные для C) общие блоки памяти, можно предположить, что у его автора мало опыта работы с PHP. Этой неопытностью разработчика может объясняться включение списка взломанных сайтов в код загрузчика.

Исследователи связались с владельцами online-магазинов из списка и сообщили им о проблеме.

Темы:Онлайн-торговляПреступленияMagecartRAT
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...