Независимый специалист по информационной безопасности Виллем де Грот (Willem de Groot) обнаружил, что 7339 сайтов, работающих на платформе Magento, были заражены вредоносом MagentoCore. Этот скрипт похищает данные банковских карт пользователей.

Де Грот называет эту кампанию одной из наиболее успешных в настоящее время: более 7000 магазинов были скомпрометированы менее чем за полгода. Злоумышленники модифицировали исходники сайтов, чтобы скрыть свою малварь среди легитимных файлов. Как правило, скрипт MagentoCore загружается на странице оплаты и незаметно похищает информацию о платежной карте, введенную посетителем в соответствующую форму. Позже собранные данные переправляются на сервер злоумышленников.

Исследователь пишет, что обычно заражение обнаруживают в течение пары недель, но по меньшей мере 1450 пострадавших сайтов хостили MagentoCore на протяжении всех шести месяцев. По подсчетам исследователя, операторы данной кампании в среднем взламывают 50-60 сайтов в день. Среди пострадавших присутствуют многомиллионные компании, акции которых котируются на биржах, а значит, операторы MagentoCore «зарабатывают» немало (хотя основными пострадавшими здесь, конечно, выступают не компании, а пользователи).

Поиск через PublicWWW показывает, что и сегодня вредоносный скрипт можно обнаружить на  5172 сайтах.

Специалисты RiskIQ сообщают, что обнаруженная де Гротом кампания MagentoCore известна им под названием MageCart. По их данным, она активна как минимум с 2015 года, и здесь действует не одна хакерская группа, а сразу три группировки, применяющие практически одинаковые тактики. К примеру, группа, которую эксперты RiskIQ отслеживают под тем же именем MageCart, атаковала популярный виджет чатов, заразив его малварью для хищения карт. Именно это стало причиной утечки данных у компании TicketMaster, о которой стал известно в июне текущего года.

По данным Виллема де Грота, в настоящее время 4,2% всех сайтов на Magento заражены теми или иными типами вредоносных скриптов.

6 комментариев

  1. Владиславище

    31.08.2018 at 22:34

    Именно по этой причине, для оплаты на сайтах надо использовать виртуальные карты (виртуальная платёжная карта, с лёгкостью создаётся в приложении QIWI-кошелька), а оплатив покупку, заблокировать карту. Ну это я так делаю. И в отпусках надо пользоваться не основной (допустим «зарплатной» картой), а дополнительной картой, скидывая туда небольшие суммы. Или наличкой…

  2. bockor

    01.09.2018 at 08:41

    почему на хост абузу до сих пор не накатали?

Оставить мнение