Стало известно о появлении нового семейства вредоносного ПО, разработанного для хищения учетных данных администраторов интернет-магазинов. Известно, что атакам вредоноса Prestashop подвергаются ресурсы под управлением одноименной CMS.
Как утверждает специалист компании Sucuri Конрадо Торкуато, в одном из случаев мошенник получил доступ к серверу и внедрил кейлоггер в файл ./controllers/admin/AdminLoginController.php, отвечающий за загрузку страницы авторизации на панели администратора. Код собирал сведения о доменном имени сайта, URL страницы авторизации и учетных данных администратора, а после отправлял эту информацию на почтовый ящик в атакующего.
Как отметил эксперт, письмо содержало все данные, которые могут понадобиться преступнику для входа на взломанный сайт под управлением Prestashop. Тем не менее, он не пояснил очень важную деталь – зачем злоумышленнику может понадобиться эта информация, если он уже скомпрометировал ресурс и модифицировал его исходный код?
В теории, одна из причин таких действий может заключаться в том, что некоторые интернет-магазины являются только «лицом» более крупных компаний. Достаточно распространенной ситуацией является то, что администраторы сайтов используют эти же учетные данные для внутренних систем компании, таких как CRM-, HRM- и VPS-серверы, межсетевые экраны и т.п. Может быть, благодаря такой схеме злоумышленник собирается получить доступ к другой важной информации, хранимой на системах компании.
Источник http://www.securitylab.ru/