Осенью текущего года специалисты по безопасности выявили серию атак на различные компании и сервисы, в ходе которых злоумышленники из группировки MageCart похищали данные банковских карт пользователей.
«Почерк» группа почти всегда узнаваем: злоумышленники взламывают самые разные сайты и внедряют код JavaScript на страницы оплаты, похищая таким образом вводимые пользователями финансовые данные (номера банковских карт, имена, адреса и так далее).
По данным специалистов, вредоносная кампания MageCart активна как минимум с 2015 года (1, 2), и в ее рамках действует не одна хакерская группа, а сразу несколько, применяющих практически одинаковые тактики. К примеру, ранее группировка, которую эксперты RiskIQ отслеживают под тем же именем MageCart, атаковала популярный виджет чатов, заразив его малварью для хищения карт. Именно это стало причиной утечки данных у компании TicketMaster, которую обнаружили в июне текущего года. Эта же группировка, ответственна за атаки на авиакомпанию British Airways, компанию Feedify и крупного ритейлера Newegg.
Теперь данной проблемой заинтересовался известный независимый ИБ-эксперт Виллем де Грот (Willem de Groot). Так как все атаки такого рода напрямую связаны с платформой Magento, исследователь пытается разобраться, каким образом злоумышленники компрометируют CMS в столь разных случаях. Как не трудно догадаться, ответ прост – они используют бреши в расширениях.
В настоящее время де Грот сумел идентифицировать уже 20 различных расширений, содержащих неисправленные уязвимости нулевого дня. Пока известны названия лишь двух их них, это Webcooking_SimpleBundle, чьи разработчики уже выпустили патч, и недавно заброшенное расширение TBT_Rewards, патчей для которого не будет, и де Грот рекомендует всем его удалить.
Кроме того эксперт обнародовал список URL-путей, связанных с эксплуатацией других уязвимостей, и просит сообщество помочь опознать еще 18 проблемных расширений, чтобы уведомить их разработчиков о проблемах. Список можно увидеть ниже.
- POST /index.php/advancedreports/chart/tunnel/
- POST /index.php/aheadmetrics/auth/index/
- POST /index.php/ajax/Showroom/submit/
- POST /index.php/ajaxproducts/index/index/
- POST /index.php/bssreorderproduct/list/add/
- POST /index.php/customgrid/index/index/
- POST /index.php/customgrid/Blcg/Column/Renderer/index/index/
- POST /index.php/customgrid/Blcg_Column_Renderer_index/index/
- POST /index.php/customgrid/index/index/
- POST /index.php/emaildirect/abandoned/restore/
- POST /index.php/freegift/cart/gurlgift/
- POST /index.php/gwishlist/Gwishlist/updategwishlist/
- POST /index.php/layaway/view/add/
- POST /index.php/madecache/varnish/esi/
- POST /index.php/minifilterproducts/index/ajax/
- POST /index.php/multidealpro/index/edit/
- POST /index.php/netgocust/Gwishlist/updategwishlist/
- POST /index.php/prescription/Prescription/amendQuoteItemQty/
- POST /index.php/qquoteadv/download/downloadCustomOption/
- POST /index.php/rewards/customer/notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
- POST /index.php/rewards/customer_notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
- POST /index.php/rewards/notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
- POST /index.php/simplebundle/Cart/add/ [Already identified as "Webcooking_SimpleBundle"]
- POST /index.php/tabshome/index/ajax/
- POST /index.php/vendors/credit/withdraw/review/
- POST /index.php/vendors/credit_withdraw/review/
- POST /index.php/vendors/withdraw/review/
Интересно, что по данным специалиста, во всех 20 уже выявленных случаях уязвимости практически идентичны друг другу. Во всех случаях атакующие эксплуатируют функцию unserialize() для внедрения вредоносного кода на сайты жертв. Хотя PHP unserialize() функция была заменена json_decode() еще в 2016 году, далеко не все разработчики последовали примеру команды Magento и изъяли unserialize() из своего кода.
«Хотя расширения разные, метод атак один и тот же: PHP Object Injection (POI)», — пишет де Грот.
Несмотря на то, что недавние атаки на Ticketmaster, British Airways и Newegg определенно были делом одной и той хак-группы, теперь де Грот уверен, что за последние несколько месяцев проблема MageCart стала гораздо масштабнее. По его данным, в настоящее время, аналогичный «почерк» демонстрируют сразу несколько группировок.
К примеру, одна группа, активно использующая вышеупомянутые 0-day проблемы, не просто встраивает вредоносный код на страницы оплаты различных магазинов. Эта группа атакует даже таких жертв, которых другие хакеры сочли бы бесполезными. Так, если владелец скомпрометированного ресурса принимает платежи через стороннего провайдера (например, PayPal или Skype), или вообще не принимает к оплате банковские карты, злоумышленники перенаправляют посетителей сайта на собственные фейковые страницы оплаты, созданные исключительно для таких случаев и с целью хищения данных.