​⚙️ 💸 ВРЕДОНОСНЫЙ PHP-СКРИПТ ОТБИРАЕТ ПРИБЫЛЬ У ИНТЕРНЕТ-МАГАЗИНОВ

• ⚠️ 🔎 Обнаружен PHP-скрипт, созданный для атак на интернет-магазины на базе CMS Magento. Зловред, амбициозно названный Magento Killer, копирует платежные данные покупателей, а у продавцов крадет поступающие деньги.

• 🕳 💉 Скрипт меняет некоторые значения в таблице базы данных core_config_data, для чего использует SQL-запросы, которые в целях конспирации зашифрованы base64-алгоритмом.


В коде Magento Killer две вредоносные функции:
✔️ Процесс UpdateDB меняет настройки сайта таким образом, чтобы данные платежных карт сохранялись на сервере вместо того, чтобы отправляться на процессинговый сервис.
✔️ Процесс UpdatePP подменяет ассоциируемые с магазином реквизиты PayPal, после чего деньги за покупки поступают злоумышленнику.

• 💳 Особо обеспокоила угроза платежным данным, возникающая из-за их локального хранения. Magento обычно шифрует такие сведения, однако ключ можно найти в одной из папок, если имеешь доступ к файловой системе сайта — как в данном случае.

• 💀🔑 Стоит отметить, что зловред похищает не только банковские реквизиты (номер карты, имя владельца и тому подобное), но и адреса покупателей, их email и прочие конфиденциальные данные. За эти операции отвечают отдельные SQL-запросы, которые вытягивают информацию из внутренних таблиц Magento. Лишние сведения удаляются, а полезный остаток сохраняется в отдельном текстовом файле.

• ⚠️ 👥 Владельцам площадок на базе Magento рекомендуется снова проверить ресурсы на посторонние элементы. Особую тревогу должны вызвать сбои в работе интернет-корзины, непонятные изменения системных файлов CMS, новые учетные записи — особенно с администраторскими привилегиями. Кроме того, нередко вредоносные аномалии первыми замечают сами покупатели и специалисты хостинг-провайдеров.


@SingleSecurity 🛡