Хакерска кампания пленява по 50 е-магазина на ден

Threatpost алармира, позовавайки се на доклад на независим разработчик, за активна кампания, насочена към електронни магазини на основата на Magento, WordPress и WooComerce. При нея, неизвестна засега страна, атакува въпросните сайтове със зловреден софтуер, пише Вилем де Гроот, който разкрива атаките. Става въпрос за „онлайн скимър“ – софтуер, който действа по подобие на познатите ни устройства, прикачани към банкоматите, за да крадат данните, свързани с банковите карти. Векторите на атаките в повечето случаи не са използването на експлойти за уязвимости (макар и това да е един от методите), а brute-force атаки, при които престъпниците използват речници с десетки хиляди пароли, понякога в продължение на месеци, за да отгатнат данните за вписване в администраторската конзола за магазините, след което доставят и въпросния онлайн скимър, в случая софтуер с името MagentoCore.net.

„Групата е превърнала хиляди магазини в зомби машини за пари“, пише де Гроот. Според него става дума за Magecart, групировка, станала известна по-рано тази година с друга подобна кампания. Макар и да избягва да приписва отговорност на конкретна националност, той разкрива, че контролния сървър на престъпниците е с регистрация в Москва и под властта им падат по 50-60 сайта на ден.

След получаване на достъп до бекенд CMS платформата, управляваща сайта, престъпниците вграждат Javascript кода, свързан със зловредната програма в HTML темплейта. Следва последователно сваляне на зловредния код, изпълнението му и изтриването му, така че да не се оставят следи, обяснява де Гроот.

Веднъж инсталиран, софтуерът започва да следи и прихваща въвежданата от потребителя информация и я изпраща в реално време към командния сървър в Москва. След като информацията е вече в ръцете на престъпниците, те наемат „мулета“, които да източват сметките на жертвите, а понякога данните биват направо продавани на черния пазар.

Де Гроот съветва хората, администриращи е-магазини да правят редовни и щателни проверки на своите ресурси. „Съветът ми към притежателите на магазини е периодично да проверяват за неразрешен код в хедърите, „футърите“ и БД полетата. Веднъж открит, трябва да бъде проведено надлежно разследване, защото хакерите обикновено поставят в превзетите от тях системи задни вратички. Контрол на версиите (връщане към сертифицирано сигурно копие на кодовата база) и добър скенер за наличието на зловредна активност, биха били много полезни“, съветва де Гроот.