Вредоносное ПО из арсенала Magecart случайно раскрыло список взломанных сайтов

Вредоносное ПО из арсенала Magecart случайно раскрыло список взломанных сайтов

Исследователи обнаружили список из 41 взломанного сайта в коде загрузчика вредоносного ПО для взлома online-магазинов.

image

Список из десятков online-магазинов, взломанных web-скимминговой группировкой, случайно утек через установщик трояна для удаленного доступа (RAT).

Злоумышленники устанавливают RAT на сайты электронной коммерции для сохранения персистентности и повторного доступа к скомпрометированным ресурсам и серверам. Получив доступ к online-магазину, они развертывают скимминговые скрипты для похищения персональных и банковских данных (атаки, известные как Magecart).

По словам специалистов ИБ-компании Sansec, вредоносное ПО доставляется в виде 64-битного исполняемого файла ELF с помощью установщика, написанного на PHP. Для обхода обнаружения и анализа RAT маскируется под демон DNS- или SSH-сервера, поэтому не выделяется в списке процессов сервера. В течение почти всего дня вредонос находится в спящем режиме, «просыпаясь» только один раз – в 7 утра, чтоб подключиться к своему C&C-серверу для получения команд.

Несмотря на сложность вредоносного ПО, киберпреступники все-таки допустили одну ошибку – включили список взломанных online-магазинов в код загрузчика. Исследователи взломали загрузчик и обнаружили в нем список из 41 скомпрометированного сайта.

Поскольку в коде загрузчика используются нехарактерные для PHP (а более характерные для C) общие блоки памяти, можно предположить, что у его автора мало опыта работы с PHP. Этой неопытностью разработчика может объясняться включение списка взломанных сайтов в код загрузчика.

Исследователи связались с владельцами online-магазинов из списка и сообщили им о проблеме.

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.