Вредоносное ПО крадет учетные данные

Man

Professional
Messages
2,965
Reaction score
488
Points
83
Вредоносное ПО часто атакует сайты электронной коммерции, и эти злоумышленники обычно пытаются украсть данные кредитных карт. В большинстве случаев они вставляют скрипты, которые извлекают данные из форм оформления заказа, чтобы перехватывать такие поля, как имя владельца карты, номер карты и дата истечения срока действия. Как только они получают эту информацию, их работа выполнена, и они используют данные для других гнусных целей (обычно выставляя их на продажу на черном рынке). Однако время от времени мы сталкиваемся со случаями, когда в дополнение к этому они также пытаются украсть данные об учетных записях, которые клиенты создали на этих сайтах, вместе с учетными данными администратора. Мы рассмотрим один такой случай.

Вредоносное ПО​

Magento довольно сложен и допускает серьезную настройку основных файлов. Мы обнаружили подозрительный скрипт, загружающийся в следующем файле:

./pub/static/adminhtml/Magento/backend/en_US/mage/dataPost.js.
загруженный файл поста данных


Как обычно, вредоносное ПО тщательно маскируется с помощью случайно названных переменных и закодированных в шестнадцатеричном формате имен функций.

После декодирования с помощью js-деобфускатора мы можем начать разбирать по частям, что делает скрипт:

декодированный скрипт datapost


Разбираем это​

Мы видим некоторые ключевые компоненты, которые выдают намерение скрипта. Мы уже знаем, что скрипт был расположен в Magento/backend/en_US/mage/dataPost.js. Этот файл используется Magento для обработки запросов AJAX через формы, как мы видим с формами регистрации и входа клиентов.

Зная, что делает этот компонент Magento, эти переменные представляют особый интерес.

Code:
g: 'aHR0cHM6Ly9jZG4uanF1ZXJpLmF0L3I=
l: '#username'
p: '#login'
b: '.action-login'

Среди прочего, функция action-login в Magento обрабатывает запросы на вход, проверяя учетные данные пользователя. Итак, мы видим, что скрипт ждет, пока это действие сработает, а затем извлекает данные, введенные в форму. Но где же пароль, спросите вы?

Взглянув на форму на сайте, мы видим, что имя пользователя и пароль настроены как элементы в массиве логина .

элементы имени пользователя и пароля


В нижней части нашего вредоносного скрипта мы видим функцию для перебора значений массива формы.

нижняя часть вредоносного скрипта


Помните, что выше dBNA73C — это имя контейнера вредоносного скрипта, а .p было обозначено для входа в систему — массива форм сайта, содержащего значения, интересующие злоумышленников.

У нас остается еще одна последняя ценность.

Code:
г: 'aHR0cHM6Ly9jZG4uanF1ZXJpLmF0L3I=

Это простая кодировка base64 для домена, на который будут отправляться данные для входа:

Code:
hxxttps://cdn[.]jqueri[.]at/

Известно, что этот домен является поставщиком вредоносного ПО, связанного с предыдущими атаками, и размещен на сервере вместе с другими доменами, связанными с кражей учетных записей клиентов и кредитных карт.

обратный IP-поиск


Здесь следует отметить, что злоумышленники часто используют домены, очень похожие на известные хорошие домены. В этом случае они используют вариацию известных репозиториев JQuery, пытаясь избежать обнаружения – этот домен может легко вписаться в анализ сетевых ресурсов.

Мне показалось особенно интересным то, что в отличие от многих случаев вредоносного ПО, нацеленного на сайты, это, по-видимому, было специально разработано для сайта, на который оно было внедрено, — вредоносное ПО ищет определенные переменные в дизайне формы входа.

Получив данные для входа, в частности, для учетных записей администратора, злоумышленники могут вносить любые изменения в дизайн сайта и даже устанавливать вредоносные модули или изменять настройки платежного шлюза.

Источник
 
Top