Известный ИБ-эксперт и основатель компании Sanguine Security (SanSec) Виллем де Грот (Willem de Groot) предупредил о крупнейшей в истории кампании, направленной на компрометацию интернет-магазинов на базе e-commerce платформы Magento. По словам специалиста, это самая масштабная атака с 2015 года.

«В минувшую пятницу были заражены 10 магазинов, затем 1058 в субботу, 603 в воскресенье и еще 233 сегодня, — писал де Грот в понедельник, 14 сентября 2020 года. — На сегодняшний день эта автоматизированная кампания является самой крупной из тех, что были обнаружены Sansec с момента начала наблюдений в 2015 году. Предыдущий рекорд — 962 взломанных магазина за один день в июле прошлого года».

Все эти атаки были типичными для MageCart-хакеров: злоумышленники взламывали сайты и  внедряли в их код вредоносные скрипты, записывающие и похищающие данные банковских карт пользователей, которые те вводили во время оформления заказов.

Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносный код) на страницы интернет-магазинов для хищения данных карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак.

Специалисты SanSec пишут, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Интересно, что еще в прошлом году ИБ-эксперты предсказывали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. К счастью, с тех пор количество уязвимых сайтов все же снизилось, и на текущий момент оно равняется примерно 95 000.

Издание ZDNet также напоминает, что летом текущего года некоторые ИБ-специалисты выражали беспокойство из-за того, что новых уязвимостей в Magento 1.x не обнаруживали уже давно. Дело в том, что это весьма нехарактерная картина, так как ветка 1.x давно считается старой и дырявой. Эксперты опасались, что хакеры намеренно «придерживали» свои эксплоиты для Magento 1.x и выжидали, пока истечет срок поддержки, чтобы точно убедиться, что разработчики Adobe не исправят уязвимости. Похоже, эти эксперты оказались правы.

Хотя пока аналитики SanSec не установили, как именно хакеры взламывали пострадавшие сайты, Виллем де Грот пишет, что в прошлом месяце на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x, тоже подтверждающая, что хакеры выжидали. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за 5000 долларов США.

Оставить мнение