Нидерландские эксперты по безопасности Ерун Бурсма и Виллем де Гроот обнаружили новое семейство вредоносного ПО, атакующего интернет-магазины на базе Magento. Главная особенность вредоноса заключается в том, что он написан на языке SQL и обладает функцией самовосстановления.
Как утверждает Виллем де Гроот, вредоносная программа запускается при размещении каждого нового заказа. Затем вредоносный триггер базы данных (набор SQL-инструкций, еще известный как хранимая процедура) проверяет наличие вредоносного кода JavaScript программы в заголовке, в Footer и разделе «Копирайт» сайта. Помимо этого, проверяются различные блоки CMS Magento, где также может находиться вредоносный код. Если скрипты не были обнаружены, вредонос внедряет их снова.
Исследователь отметил, что это первый случай, когда вредоносное ПО для Magento демонстрирует «самовосстанавливающееся» поведение.
Вредонос так же содержит JS- и PHP скрипты для хищения данных о кредитных картах пользователей. По утверждению эксперта, инфицирование сайтов осуществляется посредством брутфорс-атаки на URL /rss/catalog/notifystock/.
Источник http://www.securitylab.ru/
