Необычного вредоноса, атакующего магазины на платформе Magento, обнаружил голландский разработчик Ерун Бурсма (Jeroen Boersma), а подробный анализ малвари провел исследователь Виллем де Грот (Willem de Groot). Дело в том, что малварь может самостоятельно восстанавливаться, используя для этого код, скрывающийся в БД скомпрометированного сайта.

В своем блоге де Грот рассказывает, что вредонос выполняется каждый раз, когда пользователь размещает на зараженном сайте новый заказ. Когда это происходит, триггер вредоносной базы данных (хранимая процедура, хранящихся вместе с объектами базы данных и автоматически выполняющихся, когда используются определенные команды SQL) срабатывает до того, как Magento успевает разобраться с PHP-кодом и ассемблировать страницу.

Триггер базы данных проверяет, чтобы вредоносный JavaScript-код присутствовал сразу в хедере, футере и разделе копирайта. Кроме того, проверяются еще несколько разных блоков, в которых в Magento CMS может находиться вредоносный код.

На тот случай, если вредоносный JavaScript не обнаружен, триггер БД содержит инструкции, которые позволяют встроить код на сайт заново, для чего производится ряд SQL-операций. Исследователь утверждает, что эта первая самовосстанавливающаяся малварь для Magento.

«Вредоносы и раньше хранились в БД, но в формате простого текста. Вы могли просканировать базу данных и понять, содержится ли в ней что-то вредоносное. Но теперь малварь выполняется внутри БД. И я впервые вижу малварь, написанную на SQL. Раньше вредоносов писали на JS или PHP», — рассказывает де Грот.

В этом исследователь определенно прав: даже этот вредонос тоже имеет JavaScript- и PHP-компоненты, которые применяются для хищения информации о банковских картах пользователей, а вот SQL составляющая – это действительно что-то новое. По словам эксперта, она используется для продления «жизни» малвари на максимально долгий срок. За счет этого вредонос успешно сопротивляется всем попыткам удаления, ведь теперь он атакует саму БД, а не e-commerce приложение.

Исследователь говорит, что данный образчик малвари заражает БД после успешной брутфорс-атаки на /rss/catalog/notifystock/, и такая картина наблюдается даже в полностью пропатченных магазинах, работающих с актуальными версиями Magento.

Специально для пострадавших де Грот опубликовал в блоге простую инструкцию по обнаружению и удалению вредоносного триггера БД. Для проверки своих сайтов на предмет заражения, исследователь предлагает воспользоваться его инструментами MageReport или Magento Malware Scanner, которые уже были обновлены и умеют распознавать новый тип атак.

4 комментария

  1. Ping

    17.02.2017 at 18:24

    Хорошо бы написать статью, как он избавлялся от этого напастия…

  2. Pikcher

    19.02.2017 at 16:04

    < которые @примеряются@ для хищения информации о банковских картах пользователей
    Мария, может Вы хотели написать "применяются"?

    Ping
    в последнем абзаце есть две ссылки, перейди по последней

  3. Pikcher

    19.02.2017 at 16:09

    А вообще идея очень интересная

Оставить мнение

Check Also

В Google Play нашли 87 вредоносных модов для Minecraft

Почти миллион человек загрузил из каталога Google Play малварь, замаскированную под моды д…