Федеральное бюро расследований сообщило, что киберпреступники эксплуатируют трехлетнюю уязвимость (CVE-2017-7391) в плагине MAGMI (Magento Mass Import) для Magento с целью взлома online-магазинов и создания вредоносного скрипта, способного записывать и похищать данные платежных карт покупателей.

Проблема представляет собой уязвимость межсайтового выполнения сценариев (Cross-Site Scripting, XSS), эксплуатация которой позволяет злоумышленнику внедрить вредоносный код в HTML-код интернет-магазина.

Получив доступ к сайтам, злоумышленники создают web-оболочки для последующего доступа и начинают модифицировать PHP- и JavaScript-файлы сайта с помощью вредоносного кода, в котором записываются платежные реквизиты, введенные в магазине, когда пользователи покупают и оплачивают новые продукты. Данные платежной карты жертвы затем кодируются в формате Base64, помещаются внутри битов JPEG-файла и отправляются на сервер преступников.

Согласно VirusTotal, данный вредоносный сервер является известным хостом для киберпреступного сервиса Inter, пользующегося популярностью у низкоквалифицированных группировок, которые используют его для осуществления операций web-скимминга.

ФБР опубликовало индикаторы компрометации, которые операторы Magento могут развернуть в межсетевых экранах web-приложений (WAF) для предотвращения атак на свои сайты.

Источник: securitylab.ru