СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.04.2025
#ИБ#Инфра

Сложная кардинговая атака на Magento: скрытые угрозы

Сложная кардинговая атака на Magento: скрытые угрозы

Источник: blog.sucuri.net

На взломанном веб-сайте электронной коммерции Magento была раскрыта сложная многоступенчатая кардинговая атака. Злоумышленники использовали разнообразные технические стратегии для проникновения и эксфильтрации конфиденциальных данных клиентов.

Методы атаки

В основе вредоносной атаки лежало использование обманчивого графического файла .gif, содержащего вредоносный PHP-скрипт, работающий через архитектуру обратного прокси. Этот метод позволял вредоносному ПО перехватывать трафик веб-сайта и манипулировать им, оставаясь практически незаметным как для посетителей, так и для администраторов.

Уязвимость системы

Сайт Magento, о котором идет речь, работал на устаревшей версии 1.9.2.4, которая не получала поддержки от Adobe с июня 2020 года. Несмотря на присущие уязвимости в системе безопасности, многие операторы электронной коммерции продолжают полагаться на эти версии, опасаясь проблем и затрат, связанных с переходом на более новые платформы, такие как Magento 2.

Атака на серверной стороне

Злоумышленники использовали серверную часть веб-сайта, осуществляя внедрение JavaScript или взлом административной панели. Рассматриваемая атака показала, что:

  • Вредоносный JavaScript динамически создавал имена функций для скрытия своих истинных намерений.
  • Код маскировал потенциально опасные вызовы, усложняя усилия по обнаружению.
  • Вредоносный скрипт внедрялся на различные страницы, перехватывая и перенаправляя запросы пользователей, включая информацию о кредитных картах и учетные данные для входа.

Функция обратного прокси

Особое внимание заслуживает функция обратного прокси в этой вредоносной программе. В отличие от стандартных прокси, которые перенаправляют трафик от пользователей к серверам, обратные прокси управляют трафиком, поступающим на серверы. Это позволяет:

  • Обходить обычные механизмы обнаружения, подделывая запросы и ответы.
  • Регистрировать все взаимодействия, включая заголовки, основное содержимое и данные о публикациях.

Дополнительные методы скрытности

Вредоносная программа использовала механизм локального хранилища браузера (sessionStorage) для выполнения дальнейших операций. Она искала специально созданный пользовательский ключ, возможно, введенный обратным прокси-сервером ранее в ходе сеанса. Этот метод добавлял еще один уровень скрытности, так как данные хранились временно и стирались после завершения сеанса.

Таким образом, сложная кардинговая атака на веб-сайт Magento служит серьезным напоминанием о необходимости обновления программного обеспечения и внедрения современных мер безопасности для защиты конфиденциальных данных клиентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: