Специалисты компании Flashpoint рассказали журналистам издания ZDNet об обнаружении  русскоязычной торговой площадки MagBO, на которой торгуют доступом к тысячам взломанных сайтов.

По данным исследователей, MagBO появился сравнительно недавно (в первой половине 2018 года) и должен составить конкуренцию таким площадкам, как HackForum, Exploit.in, xDedic, Nulled и Mal4All. Однако от конкурентов MagBO отличает один немаловажный нюанс, — на новом форуме продают web shell’ы для уже скомпрометированных сайтов. То есть на продажу выставлен доступ к ресурсам, на которых уже размещены какие-то бэкдоры, которые позволяют покупателям без труда проникнуть в систему.

Эксперты Flashpoint сообщают, что в продаже можно найти самые разные предложения, с разным уровнем доступа:

• PHP шелл-доступ;


• доступ к управлению хостингом;


• доступ к управлению доменом;


• FTP доступ;


• SSH доступ;


• доступ к панели администратора;


• доступ к БД или SQL.

В настоящее время на продажу выставлены порядка 3000 скомпрометированных ресурсов, и стоимость доступа варьируется от 0,5 до 1000 долларов США. Причем цены устанавливаются динамически и зависят от таких значений, как посещаемость или параметры хостинга. Чем выше посещаемость взломанного ресурса и чем глубже доступ к его хостинг-инфраструктуре, чем выше будет цена.

Хотя пока исследователям Flashpoint не удалось найти неопровержимых доказательств, связывающих атаки MageCart с MagBO, но они не исключают такой возможности. Напомню, что от атак MageCart в последнее время пострадали компании Ticketmaster, British Airways, Feedify и другие. Так как все эти атаки были многослойными, по мнению аналитиков, изначальной компрометацией пострадавших сайтов могли заниматься совсем другие злоумышленники, у которых операторы MageCart затем покупали доступ. Эксперты не исключают, что это могло осуществляться напрямую через MagBo.