Февральская RCE-уязвимость в Magento набирает популярность у хакеров

Татьяна Никитина 23 Сентября 2022 - 16:13

Домашние пользователи

...

В Sansec фиксируют рост количества атак на сайты, использующие Magento 2; в большинстве случаев злоумышленники пытаются через эксплойт CVE-2022-24086 внедрить на сервер бэкдор. Соответствующую уязвимость Adobe пропатчила еще в феврале.

Критическая CVE-2022-24086 возникла в CMS из-за неадекватной проверки входных данных. Эксплуатация не требует взаимодействия с пользователем и позволяет выполнить в системе сторонний код.

Все наблюдаемые атаки на интернет-магазины проводятся в интерактивном режиме и по схожим сценариям — посредством вредоносной инъекции в шаблон. Одна группа хакеров пытается внедрить на Magento-серверы трояна, способного обеспечить удаленный доступ; зловред пока не детектится на VirusTotal.

Такая атака начинается с создания нового клиентского аккаунта и оформления заказа (платеж при этом может не пройти). В итоге в таблице sales_order_address появляется запись с вредоносным кодом шаблона.

После ее расшифровки аналитики обнаружили URL, по которому происходит загрузка исполняемого файла Linux с именем 223sam.jpg. Вредонос, оказавшийся RAT-трояном, запускается в фоновом режиме как приложение CLI и работает только в памяти. В ходе исполнения он создает файл состояния lg000 и пытается подключиться к серверу (в Болгарии) для получения команд.

Этот RAT имеет полный доступ к базе данных и запущенным PHP-процессам. Если атакуемый сервер является частью кластера, трояна могут внедрить во все связанные ноды. Использование CLI для активизации зловреда, по мнению экспертов, делает эту атаку похожей на FishPig-кампанию, также нацеленную на установку бэкдоров.

Другие злоумышленники пытаются внедрить свой код в поле «Сумма НДС» (VAT) формы заказа. Вредонос содержит несколько команд; одна из них создает файл pub/media/health_check.php с простейшим бэкдором, исполняемым через eval().

Еще один популярный сценарий атаки использует подмену —generated/code/Magento/Framework/App/FrontController/Interceptor.php заменяется вредоносным кодом, запускающим на исполнение другой типовой eval-бэкдор. По замыслу этот PHP должен отрабатывать при запросе любой страницы Magento, однако наблюдатели заметили, что злоумышленники явно отдают предпочтение URI в качестве точки входа — POST /catalogsearch/result/?q=bestone.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Марта 2026 - 11:06

Windows Трояны Домашние пользователи

Фальшивый сайт Telegram заражает Windows через поддельный установщик

Исследователи обнаружили новую вредоносную кампанию, в которой злоумышленники маскируют вредонос под инсталлятор Telegram. Жертву заманивают на домен telegrgam[.]com, который визуально очень похож на официальный сайт мессенджера, а дальше предлагают скачать якобы обычный инсталлятор Telegram.

На деле вместо нормальной установки запускается целая цепочка заражения. Вредоносный файл называется вполне правдоподобно — tsetup-x64.6.exe — и одновременно с вредоносной нагрузкой действительно подбрасывает на компьютер легитимный установщик Telegram, чтобы у жертвы не возникло лишних подозрений.

Пользователь видит, что Telegram установился, и может не заметить, что параллельно в системе уже работает совсем другой процесс.

Одна из самых неприятных особенностей этой атаки — вмешательство в защиту Windows. По описанию исследователей, зловред через PowerShell добавляет системные диски C:, D:, E: и F: в список исключений Windows Defender. Проще говоря, антивирусу предлагают «не замечать» происходящее на этих разделах. После этого жить в системе вредоносу становится заметно комфортнее.

Дальше начинается уже более аккуратная маскировка. Компоненты зловреда складываются в каталог AppData\Roaming\Embarcadero, название выбрано не случайно — оно похоже на что-то легитимное и не сразу бросается в глаза. При этом сам вредоносный DLL-файл запускается через rundll32.exe, то есть использует штатный процесс Windows, чтобы выглядеть менее подозрительно. Исследователи отдельно отмечают, что полезная нагрузка собирается в памяти и не записывается на диск в привычном виде, что тоже усложняет обнаружение.

Связь с управляющей инфраструктурой у кампании тоже вполне типичная для серьёзных загрузчиков и RAT-инструментов. После активации троян устанавливает TCP-соединение с 27.50.59.77:18852, связанным с доменом jiijua[.]com, и дальше уже может получать команды, догружать новые модули и поддерживать постоянный доступ к системе.