Эксперты Sucuri обнаружили PHP-скрипт, созданный специально для атак на интернет-магазины на базе CMS Magento. Зловред под названием Magento Killer весьма успешно оправдывает название – нет, магазины он не убивает, но рискует их обанкротить, нагло перенаправляя входящие денежные потоки в карман хакера. Да еще заодно и копирует платежные данные покупателей.
Делается это достаточно просто: скрипт меняет некоторые значения в таблице базы данных core_config_data, для чего использует SQL-запросы, которые в целях конспирации зашифрованы base64-алгоритмом. Процесс UpdateDB меняет настройки сайта таким образом, чтобы данные платежных карт сохранялись на сервере вместо того, чтобы отправляться на процессинговый сервис. Процесс UpdatePP подменяет ассоциируемые с магазином реквизиты PayPal, после чего деньги за покупки поступают злоумышленнику.
При этом Magento Killet похищает не только банковские реквизиты (номер карты, имя владельца и тому подобное), но и адреса покупателей, их email и прочие конфиденциальные данные. За эти операции отвечают отдельные SQL-запросы, которые вытягивают информацию из внутренних таблиц Magento. Лишние сведения удаляются, а полезный остаток сохраняется в отдельном текстовом файле.
Владельцам интернет-магазинов на базе Magento рекомендуется проверить свои сайты на посторонние элементы, беспокоиться нужно, если есть какие-то сбои в работе интернет-корзины, непонятные изменения системных файлов CMS, или появляются новые учетные записи — особенно с администраторскими привилегиями. Впрочем, нередко вредоносные аномалии первыми замечают сами покупатели и специалисты хостинг-провайдеров.
У сайтов на Magento в июне 2019 года крупные проблемы, это уже третья за неделю. Ранее специалисты предупредили об уязвимостях CMS, позволяющих перехватывать онлайн-платежи (после внедрения стороннего кода в сайт, возможность которого предоставляла уязвимость). Затем эксперты обнаружили вредоносную кампанию, которая коснулась почти тысячи торговых сайтов. Источником угрозы оказался скиммер, который злоумышленники внедряли на сайты через не определенные пока (!) дыры.
Эксперты АКБ напоминают, что ранее в июне Foregenix выкатили жутковатые цифры: 87% сайтов электронной коммерции, использующих платформу Magento, в настоящее время уязвимы для кибератак. С прошлого года их количество выросло на 7%.
Взлом Magento в 2018 году по популярности у хакеров занял (с огромным, впрочем, отрывом) второе место после WordPress, о котором мы предлагаем вам почитать подборку избранных материалов:
Сайты на WordPress атакуют через 0-day уязвимость в забытом плагине
60 тысяч сайтов для WordPress попали под атаку — опять из-за плагина
WordPress Social Warfare пришлось удалить из-за волны хакеров