Akamai предупреждает, что e-commerce сайты, работающие под управлением Adobe Magento 2, становятся жертвами вредоносной кампании Xurum, начавшейся еще в январе 2023 года.
В своих атаках хакеры эксплуатируют уже исправленную критическую уязвимость CVE-2022-24086 (9,8 балла по шкале CVSS) в Adobe Commerce и Magento Open Source, которая позволяет им добиться удаленного выполнения произвольного кода.
CVE-2022-24086 используется для первоначального доступа к целевым системам, а затем злоумышленники переходят к выполнению вредоносного PHP-кода, который собирает информацию о хосте и внедрят веб-шелл wso-ng, который маскируется под компонент Google Shopping Ads.
Отмечается, что этот бэкдор работает в памяти и активируется лишь тогда, когда злоумышленник отправляет в HTTP-запросе файл cookie magemojo000, после чего осуществляется доступ и извлечение информации о способах оплаты заказов за последние 10 дней.
Считается, что wso-ng — это эволюционировавший веб-шелл WSO, который обладает новой скрытой страницей входа для кражи учетных данных жертв, а также интегрируется с такими легитимными инструментами, как VirusTotal и SecurityTrails, чтобы узнать репутацию IP-адреса зараженной машины и получить информацию о других доменах, расположенных на том же сервере.
Как правило, атаки завершаются добавлением на сайт пользователя-администратора с именем mageworx или mageplaza. Таким способом хакеры пытаются замаскировать свои действия, поскольку такие имена обычно используются популярными расширениями для Magento.
В отчете исследователей отмечается, что некоторые из пострадавших сайтов также оказались заражены простыми веб-скиммерами на основе JavaScript, предназначенными для сбора и кражи информации о банковских картах.
«Злоумышленники демонстрируют тщательность, нацеливаясь только на конкретные экземпляры Magento 2, и не распространяют свои эксплоиты без разбора по всему интернету, — пишут исследователи. — Они демонстрируют высокий уровень знаний о Magento и тратят значительное время на изучение его внутренних компонентов, создание инфраструктуры для атак и тестирование своих эксплоитов на реальных объектах».