За выходные в ходе крупнейшей задокументированной кампании на сегодняшний день, были взломаны около 2000 интернет магазинов Magento 1. Десятки тысяч банковских карт пользователей в оказались руках преступников.
Многие магазины, подвергшиеся атакам, не имели в прошлом инцидентов безопасности. Это говорит о том, что для получения серверного доступа ко всем этим хранилищам был использован новый метод атаки нулевого дня.
================================================================
Эксперты считают что все это связано с недавним эксплойтом Magento 10day, который был выставлен на продажу несколько недель назад.
Эксплойтом торговал русский хакер😎
Пользователь z3r0day объявил на RU хакерском форуме о продаже нового эксплойта для Magento 1, включая видеоинструкцию, за 5000 долларов.
Продавец z3r0day подчеркнул, что, поскольку Magento 1 находится в конце жизненного цикла, Adobe не будет предоставлять официальных патчей для исправления этой ошибки, что наносит дополнительный ущерб владельцам магазинов, использующих устаревшую платформу.
================================================================
Чтобы подсластить сделку, z3r0day пообещал продать только 10 копий опасного эксплойта. Как видим продажи у торговца эксплойтами идут отлично.
🤔После взлома сервера, на котором размещен сайт, злоумышленники устанавливают вредоносное ПО, имя которого файл mysql.php. Затем он используется для установки вредоносного сценария JavaScript. Сценарий в свою очередь, представляет собой кейлогер кражи нажатия клавиш, подгружаемый со стороннего ресурса, который активируется только при загрузке с платежной формы.
По данным анализа двух серверов группой Sansec в ходе криминалистического расследования, этим сторонним ресурсом был сайт расположенный в Москве.😎
================================================================
По оценке Sansec, количество магазинов, использующих Magecart 1, на сегодняшний день составляет более 90000 онлайн, что является значительным числом потенциальных целей для злоумышленников.