На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

В канун Черной пятницы в 50 крупных магазинах, построенных на платформе Magento, заработал новый зловред, ворующий платежные данные. Избавиться от этого веб-скиммера непросто: взломщики оставили на сайтах бэкдоры и добавили механизм, обеспечивающий повторное инфицирование в случае обнаружения и удаления вредоносного кода.

По свидетельству Sansec, злоумышленники начали готовиться к новой кампании еще в апреле и хорошо позаботились о скрытности операций. Разбор текущих атак показал, что все скомпрометированные сайты используют Magento ветки 2.2, снятой с поддержки в декабре 2019 года. Пользователей еще тогда призывали произвести апгрейд, однако многие этого до сих пор не сделали.

Взлом сайтов в данном случае осуществляется посредством эксплуатации уязвимостей, пропатченных разработчиком в марте прошлого года. Ход атаки при этом выглядит следующим образом:

  1. Получение URL консоли администратора через эксплойт уязвимости раскрытия информации.
  2. Перехват сессионного ключа залогинившегося администратора посредством SQL-инъекции.
  3. Вход в админ-панель и создание пригодного для эксплуатации шаблона email с целью загрузки и исполнения вредоносного PHP-кода.
  4. Установка бэкдора.
  5. Установка веб-скиммера.

При этом внедрять код стилера на забэкдоренный сайт злоумышленники не торопятся.

Веб-скиммер в данном случае разделен на две части — клиентскую и серверную. На стороне клиента вредоносный код внедряется в какой-нибудь статичный JavaScript-файл (например, require.js); в этом виде он может показывать поддельную форму оплаты покупки — для каждого магазина свою. Вводимые покупателем данные скрипт отсылает на сервер для проверки, и такое действие подозрений не вызывает: оно обычно при проведении платежных транзакций.

За сбор и сохранение краденой информации отвечает вторая половина стилера — добавленный на бэкенд-сервер код PHP. Оператор в этом случае получает ворованные данные через запрос HTTP POST.

Бэкдор, установленный посредством PHP-инъекции (PHP Object Injection, POI), злоумышленники активируют вызовом функции сравнения товаров — Product Compare. Один из таких вредоносных объектов вполне тривиален, и его легко обнаружить. Второй более опасен: он добавляет на сервер функцию десериализации PHP — она по стандарту не рекомендуется к использованию, так как позволяет захватить контроль над сервером посредством POI-атаки. К счастью, вызов этой функции всегда можно отследить по журналу событий.

Одновременно на сервере в фоновом режиме запускается сторожевой процесс, отвечающий за сохранность бэкдора. Этот сторож маскируется под легитимные системные процессы — dnsadmin dormant, sshd [net], php-fpm: pool www. Если бэкдор нашли и вычистили, зловредный процесс за пару дней установит новую копию (она вшита в код). Более того, он откатит временные метки всех файлов законного пользователя, чтобы возврат вредоносного кода остался незамеченным.

Присутствие зловредной службы, со слов экспертов, можно обнаружить на TCP-порту 9000 — по всей видимости, это резервный канал связи, по которому операторы могут подавать команды. Наличие стороннего сторожа также выявит поиск по списку запущенных процессов с помощью утилиты командной строки (sudo grep -l Magento.Catalog /proc/*/exe).

К сожалению, операторы зловреда предусмотрели и такой сценарий. Они дополнительно устанавливают на сервер PHP-код, способный на лету воровать пароли администратора и отсылать их на сторонний коллектор. Если доступ к взломанному серверу потерян и сторожевой процесс прибит, у злоумышленников останутся ключи, с помощью которых можно будет вернуть утраченные позиции.

Selectel первым получил аттестат ФСТЭК по новым требованиям приказа №117

Selectel сообщил о получении аттестата соответствия обновленным требованиям приказа ФСТЭК России №117. В компании заявляют, что стали первым облачным провайдером, публично подтвердившим соответствие новым правилам для информационных систем первого класса защищенности — К1.

Приказ №117 вступил в силу в марте 2026 года и заменил прежний приказ №17. Главное изменение — требования теперь касаются не только государственных информационных систем, но и других систем госсектора.

Кроме того, под действие правил могут попадать коммерческие компании, если они работают с защищаемыми системами, государственными заказчиками или участвуют в госконтрактах.

Для бизнеса это означает простую вещь: если компания работает с чувствительными данными или проектами для государства, требования к инфраструктуре становятся жестче. И закрывать их придется не «когда-нибудь потом», а уже в рамках новых правил.

Аттестат Selectel подтверждает, что облачную платформу провайдера можно использовать для размещения систем, подпадающих под требования приказа №117. Клиенты также смогут использовать такую инфраструктуру при прохождении собственной аттестации. Средства защиты информации при этом предоставляются по подписочной модели, без отдельной закупки и внедрения.

Аналогичная возможность аттестации доступна и для выделенных серверов Selectel в рамках аттестованных сегментов ЦОД.

По данным компании, спрос на защищенную инфраструктуру растет. Выручка от аттестованной облачной инфраструктуры по итогам 2025 года увеличилась почти втрое год к году. Быстрее всего потребление облаков росло у клиентов из финансового сектора — в 2,1 раза, в ритейле — в 1,5 раза, в медиа — в 1,4 раза.

В Selectel связывают этот рост с усилением регуляторной нагрузки, дефицитом экспертизы по аттестации и переходом регулируемых отраслей в облака.

Отдельно компания отмечает, что защищенная инфраструктура становится важной не только для выполнения требований ФСТЭК, но и для проектов с искусственным интеллектом, где вопросы безопасности и контроля данных всё чаще выходят на первый план.

RSS: Новости на портале Anti-Malware.ru