Неудаляемый скиммер: хакеры обнаружили ахиллесову пяту Magento

Исследователи из компании Sucuri обнаружили новый метод кражи данных на платформе электронной коммерции Magento . Злоумышленники используют Swap-файлы (файлы-подкачки) для внедрения устойчивого шпионского ПО, похищающего данные кредитных карт. Выявленный способ внедрения резко повышает живучесть вредоносного кода в заражённой системе, позволяя ему без особых проблем переживать многочисленные попытки удаления.

В рассмотренной вредоносной кампании на странице оформления заказа исследователями был обнаружен скрипт, содержащий закодированные переменные и строки. Декодирование показало, что скрипт отслеживал данные кредитных карт. При нажатии на кнопку оформления заказа скрипт собирал введённые данные с помощью функции querySelectorAll.

Злоумышленники использовали домен «amazon-analytic[.]com» для передачи украденных данных. Этот домен был зарегистрирован в феврале 2024 года и уже использовался в других кампаниях кражи кредитных карт. Использование популярных брендов в доменных именах помогает злоумышленникам избегать подозрений и обнаружения.

Дальнейшее расследование показало, что файл «bootstrap.php» на сайте Magento был полностью заменён преступниками. Декодирование содержимого показало тот же вредоносный скрипт, который был обнаружен на странице оформления заказа. Вредоносный код использовал функцию curl для передачи данных на внешний сервер.

Удаление вредоносного ПО оказалось сложной задачей. Несмотря на замену заражённого файла на чистую версию с последующей очисткой кэшей, вредоносный скрипт продолжал загружаться на странице оформления заказа. И даже при прямом просмотре файла через SSH он казался чистым, однако инструменты для очистки от вредоносного ПО всё равно показывали наличие инфекции.

Причиной этого была скрытая версия файла «bootstrap.php», созданная при редактировании через SSH. Этот временный Swap-файл содержал тот же вредоносный код, что и оригинальный файл. Удаление скрытого Swap-файла и повторная очистка кэшей позволили окончательно очистить страницу оформления заказа.

Этот случай подчёркивает важность комплексных мер безопасности, выходящих за рамки поверхностных сканирований и очисток. Ограничение административного доступа к доверенным IP-адресам, регулярное обновление систем управления контентом и плагинов, а также использование межсетевых экранов помогут снизить риск заражения.

Для тех пользователей или администраторов, кто столкнулся с подобной проблемой, рекомендуется обратиться к специалистам по безопасности или воспользоваться руководством по самостоятельной очистке заражённых сайтов, написанным экспертами Sucuri.