Новое вредоносное ПО атакует сайты на базе Magento

image

Теги: вредоносное ПО, атака, интернет, Magento

Основной особенностью вредоноса является то, что он написан на языке SQL и обладает функцией самовосстановления.

Нидерландские исследователи по безопасности Ерун Бурсма (Jeroen Boersma) и Виллем де Гроот (Willem de Groot) обнаружили новое семейство вредоносного ПО, атакующего интернет-магазины, работающие на базе платформы Magento. Основной особенностью вредоноса является то, что он написан на языке SQL и обладает функцией самовосстановления.

По словам Виллема де Гроота, вредоносная программа запускается каждый раз при размещении пользователями нового заказа. Затем вредоносный триггер базы данных (набор SQL-инструкций, также известный как хранимая процедура) проверяет наличие вредоносного кода JavaScript программы в заголовке, в Footer и разделе «Копирайт» сайта. Кроме того, проверяются различные блоки CMS Magento, где также может содержаться вредоносный код. Если скрипты не обнаружены, вредонос внедряет их повторно.

Это первый случай, когда вредоносное ПО для Magento демонстрирует «самовосстанавливающееся» поведение, отметил эксперт.

«Ранее вредоносное ПО содержалось в базах данных, но только в виде текста. Вы можете просканировать дамп базы данных и определить, есть там вредоносы или нет. Но сейчас вредоносное ПО исполняется в базе данных. Это впервые, когда я столкнулся с вредоносной программой, написанной на SQL», - пояснил де Гроот в интервью ресурсу BleepingCompeter.

Вредонос также содержит JS- и PHP скрипты для хищения данных о кредитных картах пользователей. По словам исследователя, инфицирование сайтов осуществляется посредством брутфорс-атаки на URL /rss/catalog/notifystock/.


comments powered by Disqus