Необычного вредоноса, атакующего магазины на платформе Magento, обнаружил голландский разработчик Ерун Бурсма (Jeroen Boersma), а подробный анализ малвари провел исследователь Виллем де Грот (Willem de Groot). Дело в том, что малварь может самостоятельно восстанавливаться, используя для этого код, скрывающийся в БД скомпрометированного сайта.
В своем блоге де Грот рассказывает, что вредонос выполняется каждый раз, когда пользователь размещает на зараженном сайте новый заказ. Когда это происходит, триггер вредоносной базы данных (хранимая процедура, хранящихся вместе с объектами базы данных и автоматически выполняющихся, когда используются определенные команды SQL) срабатывает до того, как Magento успевает разобраться с PHP-кодом и ассемблировать страницу.
Триггер базы данных проверяет, чтобы вредоносный JavaScript-код присутствовал сразу в хедере, футере и разделе копирайта. Кроме того, проверяются еще несколько разных блоков, в которых в Magento CMS может находиться вредоносный код.
На тот случай, если вредоносный JavaScript не обнаружен, триггер БД содержит инструкции, которые позволяют встроить код на сайт заново, для чего производится ряд SQL-операций. Исследователь утверждает, что эта первая самовосстанавливающаяся малварь для Magento.
«Вредоносы и раньше хранились в БД, но в формате простого текста. Вы могли просканировать базу данных и понять, содержится ли в ней что-то вредоносное. Но теперь малварь выполняется внутри БД. И я впервые вижу малварь, написанную на SQL. Раньше вредоносов писали на JS или PHP», — рассказывает де Грот.
В этом исследователь определенно прав: даже этот вредонос тоже имеет JavaScript- и PHP-компоненты, которые применяются для хищения информации о банковских картах пользователей, а вот SQL составляющая – это действительно что-то новое. По словам эксперта, она используется для продления «жизни» малвари на максимально долгий срок. За счет этого вредонос успешно сопротивляется всем попыткам удаления, ведь теперь он атакует саму БД, а не e-commerce приложение.
Исследователь говорит, что данный образчик малвари заражает БД после успешной брутфорс-атаки на /rss/catalog/notifystock/, и такая картина наблюдается даже в полностью пропатченных магазинах, работающих с актуальными версиями Magento.
Специально для пострадавших де Грот опубликовал в блоге простую инструкцию по обнаружению и удалению вредоносного триггера БД. Для проверки своих сайтов на предмет заражения, исследователь предлагает воспользоваться его инструментами MageReport или Magento Malware Scanner, которые уже были обновлены и умеют распознавать новый тип атак.
