В двух словах: Magecart снова наносит удар, и на этот раз сайты электронной коммерции находятся в ужасном положении. Хакерские группы атаковали онлайн-компании с помощью вредоносных программ, предназначенных для сбора информации о транзакциях клиентов, что не является чем-то новым. Новым является то, что вредоносный код также открыл как минимум 19 бэкдоров в магазинах, поэтому, если администраторы удалят его, хакеры смогут быстро вернуться на сайт.
Исследователи безопасности из Sansec говорят, что в январе они обнаружили, что более 500 интернет-магазинов, работающих на платформе электронной коммерции Magento 1, были скомпрометированы. Хакеры использовали комбинацию SQL-инъекций (SQLi) и PHP-инъекций объектов (POI), чтобы захватить платформу Magento. Затем домен под названием «naturalfreshmall» доставил вредоносное ПО на теперь уже уязвимые сайты.
«Скиммер Natural Fresh показывает поддельное всплывающее окно платежа, нарушая безопасность (совместимой с PCI) размещенной платежной формы», — написал Сансек в Твиттере. «Платежи отправляются на https://naturalfreshmall[.]com/payment/Payment.php ».
Имея контроль над Magento, в частности над плагином под названием «Quickview», Magecart выполнил атаку «человек посередине». Вредоносное ПО, выдававшее себя за всплывающее окно платежа, считывало данные транзакции и отправляло их на серверы, контролируемые Magecart.
Кроме того, вредоносная полезная нагрузка содержала файлы, которые создавали как минимум 19 бэкдоров на веб-сайты. Таким образом, удаление вредоносных программ не является эффективным средством смягчения последствий. Администраторы должны сначала выявить и удалить все бэкдоры, а затем исправить скомпрометированную CMS.
Sansec говорит, что уязвимость заключается в устаревшей версии программного обеспечения Magento 1 от 2020 года. Чтобы исправить свои платежные платформы, администраторам необходимо обновиться до новейшей версии Adobe Commerce или использовать исправления Magento 1, которые они могут загрузить из проекта OpenMage.