Как сообщают эксперты Sucuri, новая вредоносная программа атакует магазины, которые работают под управлением CMS Magento. В зоне риска – порталы, применяющие систему оплаты Braintree и соответствующее расширение.
С помощью сервиса Braintree любой магазин может принимать к оплате банковские карты. Чтобы использовать систему, владельцы Magento-сайтов должны просто установить расширение Braintree Payments и зарегистрироваться, после чего они смогут через аккаунт Braintree работать с транзакциями.
По словам экспертов Sucuri, они нашли вредоносную программу, атакующую расширение Braintree. При взломе очередного Magento-сайта хакеры внедряют в файл js/varien/accordion.js вредоносный код. Специалисты обнаружили, что каждую секунду вредоносная программа пользуется функцией timedMe, чтобы проверять, заполнена ли платежная форма пользователя. При фиксации введенных данных вредоносная программа сразу же похищает их и отправляет на сервер, находящийся под контролем хакеров.
Чтобы извлекать информацию из формы, вредоносная программа пользуется стандартным объектом gene_braintree_creditcard, который применяется для работы с платежами в Braintree. Кроме того, злоумышленники имеют возможность пользоваться gene_braintree_paypal, чтобы перехватывать данные банковских карт.
Эксперты утверждают, что вредоносная программа может быть спрятана не только в js/varien/accordion.js, но и в других файлах. После того, как сайт был полностью очищен, он может быть повторно инфицирован. Кроме того, исследователи Sucuri отмечают, что эта ситуация в очередной раз свидетельствует о небезопасности форм оплаты, где пользователь должен вводить данные банковской карты. Если сайт взломан, то предотвращение утечки информации из подобных форм практически невозможно.
