Исследователь обнаружил скрипт-скиммер MagentoCore, заразивший более 7 тысяч интернет-магазинов

ИБ-специалист Виллем Де Грот (Willem de Groot) обнаружил вредоносный скрипт для хищения данных платежных карт покупателей в интернет-магазинах, работающих на платформе Magento. По данным исследователя, скрипт под названием MagentoCore за полгода заразил 7339 площадок электронной торговли.

Как работает MagentoCore

Злоумышленники использовали брутфорс-атаку для получения доступа к интересующим сайтам, рассказал Де Грот в своем блоге на GitLab. Затем, пользуясь правами администратора, они загружали в HTML-форму встраиваемый JS-код. Малварь, находящаяся на странице оплаты товара, считывала данные карт ничего не подозревающих пользователей сайта, а затем передавала их на сервер MagentoCore.net, зарегистрированный в Москве.

Неуловимый вредонос

Исследователь утверждает, что такие скрипты обычно отслеживаются в течение пары недель, но не в этот раз. По его данным, MagentoCore находился в системе около 1500 сайтов на протяжении полугода. Это происходило из-за того, что у малвари есть механизм восстановления: она загружается в систему, выполняет набор действий и самоуничтожается, не оставляя следов. Согласно ресурсу PublicWWW, на момент написания заметки вредонос хостят 5172 сайта на платформе Magento.

Исследователь написал в своем твиттере, что 4,2 % всех сайтов на Magento заражены различными типами вредоносных скриптов:

В дополнение он разработал сканер малварей для платформы, который можно скачать на его GitHub-странице.

В 2015 году система управления интернет-магазинами Magento была заражена вредоносным скриптом Neutrino exploit kit, затронувшим 7800 сайтов. Он сканировал компьютеры жертв на предмет уязвимостей и производил заражение при их нахождении.