Сезон распродаж: троянские атаки множатся, треть сайтов Magento под ударом

Татьяна Никитина 16 Ноября 2022 - 17:57

Домашние пользователи

Малый и средний бизнес

...

По оценке Sansec, доля сайтов Magento и Adobe Commerce, атакованных через эксплойт, в этом месяце возрастет до 38%. Это в десять раз больше, чем показатели предыдущих 10 месяцев, вместе взятых.

По данным экспертов, в настоящее время в интернете активны как минимум семь Magecart-групп, которые пытаются внедрить на серверы RAT-трояна посредством эксплуатации февральских уязвимостей в CMS (CVE-2022-24086 и CVE-2022-24087). Соответствующие патчи, согласно наблюдениям, отсутствуют как минимум в трети магазинов, использующих Magento и Adobe Commerce.

Атака при этом происходит следующим образом. Злоумышленники проверяют сайт на уязвимость, пытаясь заставить систему отослать имейл с эксплойт-кодом в одном из полей. Отправку сообщения можно спровоцировать, оформив заказ, создав новый аккаунт или расшарив список избранного.

Положительный результат проверки означает возможность захвата контроля над сайтом. После взлома хакеры внедряют трояна, обеспечивающего постоянный доступ; этот бэкдор обычно скрывается в файле health_check.php, легитимном компоненте Magento. Текущие атаки на интернет-магазины в Sansec нарекли TrojanOrders — «троянские заказы».

Исследователи также отметили резкий рост количества сканов, нацеленных на поиск забэкдоренных файлов. По всей видимости, группировки Magecart пытаются завладеть добычей конкурентов.

Причина возросшей активности хакеров очевидна: предпраздничные распродажи в разгаре, интернет-магазины завалены заказами и не успевают следить за чистотой своих сайтов, не говоря уже об обновлении софта. Тем временем на черном рынке множатся дешевые эксплойт-паки, в состав которых включен CVE-2022-24086 — эксперты нашли четыре таких предложения, притом с обещанием успеха в 56% случаев.

Признаком TrojanOrders может служить появление новых аккаунтов с именем system или pwd, а также заказы, оформленные с указанием почты jarhovichbig@protonmail.com. Для проверки систем рекомендуется использовать бэкенд-антивирус: официальный Magento Security Scan, по словам экспертов, способен выявить угрозу только на стороне клиента.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 02 Мая 2024 - 18:23

Домашние пользователи Системы контентной веб-фильтрации

Число подключений к Tor-релеям из РФ за год снизилось более чем в 2 раза

Судя по данным о посещаемости Tor, с апреля 2023 года число пользователей даркнета в России сократилось более чем в два раза. Причиной тому блокировки Роскомнадзора, отъезд части юзеров за рубеж, миграция теневых форумов в Telegram.

Согласно статистике Tor Project, год назад количество прямых подключений россиян к анонимной сети в среднем составляло 100 тыс. в сутки, сейчас этот показатель снизился до 40 тысяч. Использование мостов для доступа к узлам Tor осталось на прежнем уровне — 50 тыс. в сутки.

В ответ на запрос «Известий» о комментарии в Роскомнадзоре заявили, что не отслеживают частные подключения к интернет-ресурсам. Вместе с тем там подтвердили принятие мер по ограничению работы Tor Browser — в рамках своих полномочий по противодействию угрозе обхода блокировок.

Опрошенные репортером ИБ-эксперты назвали другие факторы, который могли сократить российскую аудиторию Tor. Часть пользователей уехала за рубеж, сменив место подачи запросов. Из России также ушли некоторые криптовалютные биржи, что осложнило расчеты в даркнете.

Да и крупные торговые площадки стали постепенно исчезать из теневого интернета благодаря усилиям правоохраны (вспомним судьбу Silk Road, AlphaBay, Hydra). В то же время возросла популярность Telegram, и криминальные элементы начали переселяться туда, создавая каналы для совершения сделок по купле-продаже.

Последние пару лет в мессенджере также активно плодятся публикации хактивистов об утечках, которые по числу просмотров уже затмили даркнет.