Вредоносная программа Magecart впервые была выявлена специалистами в сфере информационной безопасности в марте этого года. Однако первый инцидент, связанный с активностью Magecart, был зафиксирован лишь в мае. Тогда вредоносная программа атаковала сетевые магазины, находящиеся под управлением CMS Magento и работающие с системой оплаты Braintree.
На протяжении всего времени, прошедшего с вышеупомянутого инцидента, аналитики из ClearSky и RiskIQ наблюдали за активностью Magecart. Теперь эксперты сообщают, что вредоносная программа расширила свой функционал. Как сообщают исследователи, вредоносные скрипты Magecart были усовершенствованы, вследствие чего программа может, помимо Magento, атаковать также и платформы OpenCart и Powerfront. Вредоносная программа все еще представляет собой обычный JavaScript, внедряемый в код взломанного сайта. Для заражения используются разнообразные уязвимости в CMS. Иногда киберпреступники взламывают сервер, на котором работает сайт.
Вначале Magecart производит проверку факта перехода пользователя на страницу оформления и оплаты заказа. После подтверждения перехода жертвы на сайт активируется компонент, в состав которого входит кейлоггер. Вредоносная программа осуществляет перехват всей информации, которая вводится пользователем в соответствующие поля, и передает ее на сервер хакеров. Если на странице оформления и оплаты заказа по умолчанию отсутствуют поля, интересующие киберпреступников, программа Magecart может их добавить сама.
По словам экспертов, создатели вредоносной программы понимают, каким образом следует прятать следы своей активности. Так, посредством HTTPS, с разных доменов происходит подгрузка вредоносных скриптов. Передача украденной информации также осуществляется через HTTPS.
Аналитики RiskIQ сообщают, что Magecart крадет информацию из магазинов, осуществляющих обработку платежей самостоятельно и использующих для этих задач сторонние сервисы. Например, вредоносная программа может похищать сведения о банковских картах с веб-ресурсов, которые работают с системами оплаты Braintree и VeriSign.