Эксперты компании Sansec заметили, что дроппер неназванной хак-группы, заражающей интернет-магазины  MageCart-малварью (веб-скиммерами), содержит список скомпрометированных сайтов.

Дроппер использовался преступниками для развертывания RAT-малвари на взломанных сайтах. При помощи этого вредоноса преступники добивались устойчивого присутствия в системе жертвы и использовали его для восстановления доступа к серверам взломанных интернет-магазинов, на страницы которых были внедрены веб-скиммеры.

Исследователи рассказывают, что малварь доставлялась с помощью PHP-дроппера в виде 64-битного исполняемого файла ELF. Чтобы избежать обнаружения и затруднить анализ, RAT маскировался серверный демон DNS или SSH и не выделялся в списке процессов сервера. Также большую часть дня малварь находилась в спящем режиме и «просыпалась» только один раз в день, в 7 часов утра, чтобы подключиться к управляющему серверу и запросить команды.

Образцы RAT, полученные Sansec с нескольких взломанных серверов, были скомпилированы для атак на Ubuntu и Red Hat Linux.­

Однако, невзирая на использование продвинутой RAT-малвари, хакеры допустили грубую ошибку, включив список взломанных интернет-магазинов в код своего дроппера. Так, эксперты Sansec изучили дроппер и, помимо ожидаемого вредоносного кода, обнаружили, что он содержит адреса 41 взломанного интернет-магазина. Исследователи полагают, что так произошло в силу того, что дроппер был написан злоумышленником, у которого мало опыта работы с PHP.

Исследователи уже связались со всеми пострадавшими магазинами из найденного списка и предупредили их владельцев о компрометации.

Оставить мнение