Атака на платежную систему Magento угрожает сайтам электронной коммерции

Новая уловка для внедрения кредитных скиммеров на сайты Magento

Креативная техника, связанная с использованием так называемых swap-файлов, используется для внедрения постоянных кредитных скиммеров на скомпрометированные сайты электронной коммерции на платформе Magento. Об этом предупреждают исследователи из компании Sucuri, занимающейся кибербезопасностью.

Исследователи объяснили:

«Когда файлы редактируются напрямую через SSH, сервер создаёт временную версию файла (swap file) на случай, если редактор выйдет из строя, чтобы предотвратить потерю содержимого.»

Использование swap-файлов и поддельных доменов Amazon

Чтобы создать временную версию файла, злоумышленнику сначала необходимо получить доступ к сайту на Magento. В данном случае неизвестно, как именно атакующие получили доступ, но можно предположить, что это было сделано через фишинг, подбор паролей или атаку на учётные данные.

Как действуют злоумышленники

Использование swap-файлов было лишь одним из нескольких способов, которые злоумышленники применяли для обеспечения присутствия на сайте. Присвоенные данные отправлялись на домен под названием «amazon-analytic[.]com», зарегистрированный в феврале 2024 года.

«Обратите внимание на использование бренда: эта тактика, включающая популярные продукты и сервисы в названия доменов, часто используется злоумышленниками для того, чтобы избежать обнаружения», — объяснили исследователи.

Последствия и неизвестные факты

В итоге, скиммер пережил несколько попыток очистки и продолжал эксфильтрацию чувствительных данных, таких как имена, адреса, номера кредитных карт и другие данные, необходимые для злоупотреблений.

Название скомпрометированного сайта неизвестно. Точно также неизвестно, как долго он был скомпрометирован и сколько людей пострадало от утечки данных. Неизвестно, использовались ли эти данные для совершения мошеннических покупок или были проданы на тёмном интернете.

Рекомендации и предупреждения

Некоторые преступники используют похищенные данные кредитных карт для покупки вредоносных рекламных кампаний, которые часто можно увидеть на популярных сайтах, таких как Google, Facebook и LinkedIn.

Основные моменты:

1. Злоумышленники используют swap-файлы для внедрения кредитных скиммеров на сайты Magento.
2. Собранные данные отправляются на поддельные домены, включая «amazon-analytic[.]com».
3. Скиммеры могут избежать обнаружения и пережить попытки очистки системы.
4. Неизвестно, сколько пользователей пострадало и как их данные использовались преступниками.

Эти методы требуют серьёзного внимания со стороны владельцев сайтов и предприятий для обеспечения безопасности данных клиентов.

Источник: TechRadar