Новое вредоносное ПО атакует сайты на базе Magento
Нидерландские исследователи по безопасности Ерун Бурсма (Jeroen Boersma) и Виллем де Гроот (Willem de Groot) обнаружили новое семейство вредоносного ПО, атакующего интернет-магазины, работающие на базе платформы Magento. Основной особенностью вредоноса является то, что он написан на языке SQL и обладает функцией самовосстановления.
По словам Виллема де Гроота, вредоносная программа запускается каждый раз при размещении пользователями нового заказа. Затем вредоносный триггер базы данных (набор SQL-инструкций, также известный как хранимая процедура) проверяет наличие вредоносного кода JavaScript программы в заголовке, в Footer и разделе «Копирайт» сайта. Кроме того, проверяются различные блоки CMS Magento, где также может содержаться вредоносный код. Если скрипты не обнаружены, вредонос внедряет их повторно.
Это первый случай, когда вредоносое ПО для Magento демонстрирует «самовосстанавливающееся» поведение, отметил эксперт.
«Ранее вредоносное ПО содержалось в базах данных, но только в виде текста. Вы можете просканировать дамп базы данных и определить, есть там вредоносы или нет. Но сейчас вредоносное ПО исполняется в базе данных. Это впервые, когда я столкнулся с вредоносной программой, написанной на SQL», - пояснил де Гроот в интервью ресурсу BleepingCompeter.
Вредонос также содержит JS- и PHP скрипты для хищения данных о кредитных картах пользователей. По словам исследователя, инфицирование сайтов осуществляется посредством брутфорс-атаки на URL /rss/catalog/notifystock/.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш