На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

На сайтах с устаревшей CMS Magento проснулся цепкий веб-скиммер

В канун Черной пятницы в 50 крупных магазинах, построенных на платформе Magento, заработал новый зловред, ворующий платежные данные. Избавиться от этого веб-скиммера непросто: взломщики оставили на сайтах бэкдоры и добавили механизм, обеспечивающий повторное инфицирование в случае обнаружения и удаления вредоносного кода.

По свидетельству Sansec, злоумышленники начали готовиться к новой кампании еще в апреле и хорошо позаботились о скрытности операций. Разбор текущих атак показал, что все скомпрометированные сайты используют Magento ветки 2.2, снятой с поддержки в декабре 2019 года. Пользователей еще тогда призывали произвести апгрейд, однако многие этого до сих пор не сделали.

Взлом сайтов в данном случае осуществляется посредством эксплуатации уязвимостей, пропатченных разработчиком в марте прошлого года. Ход атаки при этом выглядит следующим образом:

  1. Получение URL консоли администратора через эксплойт уязвимости раскрытия информации.
  2. Перехват сессионного ключа залогинившегося администратора посредством SQL-инъекции.
  3. Вход в админ-панель и создание пригодного для эксплуатации шаблона email с целью загрузки и исполнения вредоносного PHP-кода.
  4. Установка бэкдора.
  5. Установка веб-скиммера.

При этом внедрять код стилера на забэкдоренный сайт злоумышленники не торопятся.

Веб-скиммер в данном случае разделен на две части — клиентскую и серверную. На стороне клиента вредоносный код внедряется в какой-нибудь статичный JavaScript-файл (например, require.js); в этом виде он может показывать поддельную форму оплаты покупки — для каждого магазина свою. Вводимые покупателем данные скрипт отсылает на сервер для проверки, и такое действие подозрений не вызывает: оно обычно при проведении платежных транзакций.

За сбор и сохранение краденой информации отвечает вторая половина стилера — добавленный на бэкенд-сервер код PHP. Оператор в этом случае получает ворованные данные через запрос HTTP POST.

Бэкдор, установленный посредством PHP-инъекции (PHP Object Injection, POI), злоумышленники активируют вызовом функции сравнения товаров — Product Compare. Один из таких вредоносных объектов вполне тривиален, и его легко обнаружить. Второй более опасен: он добавляет на сервер функцию десериализации PHP — она по стандарту не рекомендуется к использованию, так как позволяет захватить контроль над сервером посредством POI-атаки. К счастью, вызов этой функции всегда можно отследить по журналу событий.

Одновременно на сервере в фоновом режиме запускается сторожевой процесс, отвечающий за сохранность бэкдора. Этот сторож маскируется под легитимные системные процессы — dnsadmin dormant, sshd [net], php-fpm: pool www. Если бэкдор нашли и вычистили, зловредный процесс за пару дней установит новую копию (она вшита в код). Более того, он откатит временные метки всех файлов законного пользователя, чтобы возврат вредоносного кода остался незамеченным.

Присутствие зловредной службы, со слов экспертов, можно обнаружить на TCP-порту 9000 — по всей видимости, это резервный канал связи, по которому операторы могут подавать команды. Наличие стороннего сторожа также выявит поиск по списку запущенных процессов с помощью утилиты командной строки (sudo grep -l Magento.Catalog /proc/*/exe).

К сожалению, операторы зловреда предусмотрели и такой сценарий. Они дополнительно устанавливают на сервер PHP-код, способный на лету воровать пароли администратора и отсылать их на сторонний коллектор. Если доступ к взломанному серверу потерян и сторожевой процесс прибит, у злоумышленников останутся ключи, с помощью которых можно будет вернуть утраченные позиции.

Apple грозит штраф до 4 млрд рублей из-за поиска и российского ПО на iPhone

Федеральная антимонопольная служба выдала Apple предупреждение из-за условий работы российских поисковых систем и предустановки отечественного ПО на устройствах с iOS. Претензия первая: на iPhone и iPad по умолчанию стоит иностранная поисковая система.

А если пользователь хочет пользоваться российским поисковиком, ему приходится лезть в настройки и менять всё вручную.

В ФАС считают, что такой подход создает дискриминационные условия для отечественных разработчиков и ущемляет интересы пользователей.

Ведомство напомнило, что по российскому законодательству на технически сложных товарах, продаваемых в России, должна быть предусмотрена возможность работы по умолчанию с российской поисковой системой или поисковиком из страны ЕАЭС.

Вторая претензия касается предустановки российского ПО на устройства Apple. По данным ФАС, компания не исполняет требования о наличии отечественных приложений на iOS-устройствах. В частности, речь идет о национальном мессенджере и российском магазине приложений.

Служба ссылается на закон о защите конкуренции и уже сложившуюся практику по делам против Apple, которую ранее подтвердили суды.

Теперь у компании есть срок до 15 июля 2026 года, чтобы исполнить предупреждение. Если Apple этого не сделает, ФАС может возбудить антимонопольное дело.

По предварительной оценке ведомства, в случае установления нарушения штраф для Apple может составить до 4 млрд рублей.

В ФАС также отметили, что претензии к Apple рассматривают антимонопольные органы и в других странах, включая государства БРИКС. Речь идет о жалобах пользователей и разработчиков на дискриминационные действия корпорации.

RSS: Новости на портале Anti-Malware.ru