Независимый специалист по информационной безопасности Виллем де Грот (Willem de Groot) обнаружил, что 7339 сайтов, работающих на платформе Magento, были заражены вредоносом MagentoCore. Этот скрипт похищает данные банковских карт пользователей.
Де Грот называет эту кампанию одной из наиболее успешных в настоящее время: более 7000 магазинов были скомпрометированы менее чем за полгода. Злоумышленники модифицировали исходники сайтов, чтобы скрыть свою малварь среди легитимных файлов. Как правило, скрипт MagentoCore загружается на странице оплаты и незаметно похищает информацию о платежной карте, введенную посетителем в соответствующую форму. Позже собранные данные переправляются на сервер злоумышленников.
Исследователь пишет, что обычно заражение обнаруживают в течение пары недель, но по меньшей мере 1450 пострадавших сайтов хостили MagentoCore на протяжении всех шести месяцев. По подсчетам исследователя, операторы данной кампании в среднем взламывают 50-60 сайтов в день. Среди пострадавших присутствуют многомиллионные компании, акции которых котируются на биржах, а значит, операторы MagentoCore «зарабатывают» немало (хотя основными пострадавшими здесь, конечно, выступают не компании, а пользователи).
Поиск через PublicWWW показывает, что и сегодня вредоносный скрипт можно обнаружить на 5172 сайтах.
Специалисты RiskIQ сообщают, что обнаруженная де Гротом кампания MagentoCore известна им под названием MageCart. По их данным, она активна как минимум с 2015 года, и здесь действует не одна хакерская группа, а сразу три группировки, применяющие практически одинаковые тактики. К примеру, группа, которую эксперты RiskIQ отслеживают под тем же именем MageCart, атаковала популярный виджет чатов, заразив его малварью для хищения карт. Именно это стало причиной утечки данных у компании TicketMaster, о которой стал известно в июне текущего года.
По данным Виллема де Грота, в настоящее время 4,2% всех сайтов на Magento заражены теми или иными типами вредоносных скриптов.
4.2% of all Magento stores globally are currently leaking payment and customer data pic.twitter.com/Utw9W3t3Oa
— Willem de Groot (@gwillem) August 27, 2018