На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

В канун Черной пятницы в 50 крупных магазинах, построенных на платформе Magento, заработал новый зловред, ворующий платежные данные. Избавиться от этого веб-скиммера непросто: взломщики оставили на сайтах бэкдоры и добавили механизм, обеспечивающий повторное инфицирование в случае обнаружения и удаления вредоносного кода.

По свидетельству Sansec, злоумышленники начали готовиться к новой кампании еще в апреле и хорошо позаботились о скрытности операций. Разбор текущих атак показал, что все скомпрометированные сайты используют Magento ветки 2.2, снятой с поддержки в декабре 2019 года. Пользователей еще тогда призывали произвести апгрейд, однако многие этого до сих пор не сделали.

Взлом сайтов в данном случае осуществляется посредством эксплуатации уязвимостей, пропатченных разработчиком в марте прошлого года. Ход атаки при этом выглядит следующим образом:

  1. Получение URL консоли администратора через эксплойт уязвимости раскрытия информации.
  2. Перехват сессионного ключа залогинившегося администратора посредством SQL-инъекции.
  3. Вход в админ-панель и создание пригодного для эксплуатации шаблона email с целью загрузки и исполнения вредоносного PHP-кода.
  4. Установка бэкдора.
  5. Установка веб-скиммера.

При этом внедрять код стилера на забэкдоренный сайт злоумышленники не торопятся.

Веб-скиммер в данном случае разделен на две части — клиентскую и серверную. На стороне клиента вредоносный код внедряется в какой-нибудь статичный JavaScript-файл (например, require.js); в этом виде он может показывать поддельную форму оплаты покупки — для каждого магазина свою. Вводимые покупателем данные скрипт отсылает на сервер для проверки, и такое действие подозрений не вызывает: оно обычно при проведении платежных транзакций.

За сбор и сохранение краденой информации отвечает вторая половина стилера — добавленный на бэкенд-сервер код PHP. Оператор в этом случае получает ворованные данные через запрос HTTP POST.

Бэкдор, установленный посредством PHP-инъекции (PHP Object Injection, POI), злоумышленники активируют вызовом функции сравнения товаров — Product Compare. Один из таких вредоносных объектов вполне тривиален, и его легко обнаружить. Второй более опасен: он добавляет на сервер функцию десериализации PHP — она по стандарту не рекомендуется к использованию, так как позволяет захватить контроль над сервером посредством POI-атаки. К счастью, вызов этой функции всегда можно отследить по журналу событий.

Одновременно на сервере в фоновом режиме запускается сторожевой процесс, отвечающий за сохранность бэкдора. Этот сторож маскируется под легитимные системные процессы — dnsadmin dormant, sshd [net], php-fpm: pool www. Если бэкдор нашли и вычистили, зловредный процесс за пару дней установит новую копию (она вшита в код). Более того, он откатит временные метки всех файлов законного пользователя, чтобы возврат вредоносного кода остался незамеченным.

Присутствие зловредной службы, со слов экспертов, можно обнаружить на TCP-порту 9000 — по всей видимости, это резервный канал связи, по которому операторы могут подавать команды. Наличие стороннего сторожа также выявит поиск по списку запущенных процессов с помощью утилиты командной строки (sudo grep -l Magento.Catalog /proc/*/exe).

К сожалению, операторы зловреда предусмотрели и такой сценарий. Они дополнительно устанавливают на сервер PHP-код, способный на лету воровать пароли администратора и отсылать их на сторонний коллектор. Если доступ к взломанному серверу потерян и сторожевой процесс прибит, у злоумышленников останутся ключи, с помощью которых можно будет вернуть утраченные позиции.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Прокуратура Москвы предупреждает о новой мошеннической схеме

Новая мошенническая схема, о которой предупреждает Прокуратуры Москвы: аферисты под видом сотрудников ФНС предлагают задекларировать деньги, а затем похищают их.

Как сообщил официальный телеграм-канал Прокуратуры Москвы, такую схему злоумышленники использовали для кражи сбережений у 71-летней пенсионерки.

Женщине позвонил неизвестный. Он узнал от потерпевшей, что она хранит сбережения дома. Мошенник сообщил ей, что все незадекларированные деньги изымет «налоговая служба» для их декларирования.

По указанию аферистов женщина придумала кодовое слово, которое должна использовать на встрече с курьером при передаче наличных. В этот же день курьер мошенников забрал все накопления пострадавшей (2,3 млн рублей), отдав взамен «договор», выполненный в фоторедакторе. Внимательно рассмотрев документ, женщина поняла, что ее обманули.

Криминального курьера удалось задержать. Им оказался 23-летний уроженец Кемеровской области. Предложения о такой работе он получил через один их мессенджеров. Наниматели оплатили ему билет до Москвы и комнату в хостеле.

Задержанному предъявлено обвинение и избрана мера пресечения в виде заключения под стражу. Он проверяется на причастность к совершению аналогичных преступлений.

«Сотрудники банков, государственных и правоохранительных органов никогда не просят граждан передавать денежные средства курьерам либо переводить их на определенные счета», — напоминает прокуратура.

Координатор платформы «Мошеловка» Евгения Лазарева отметила в комментарии для «Известий», что налоговая тема очень широко используется мошенниками, особенно накануне 1 декабря, когда завершается прием налоговых платежей. По мнению эксперта, мошенники пользуются тем, что большинство россиян не знакомы с тонкостями налогового законодательства, поэтому их легко запугать и обмануть.

Как дополнил адвокат Шон Бетрозов, злоумышленники эксплуатируют страх перед государственными органами.

«Граждане уверены, что ошибка в налоговых вопросах может привести к серьезным проблемам: штрафам, аресту или даже судебному преследованию. Кроме того, далеко не каждый вникает в сложные аспекты законодательства, что позволяет мошенникам использовать юридическую терминологию и ссылаться на несуществующие законы, создавая иллюзию легитимности», — подчеркнул юрист в комментарии для «Известий».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru