Почти 100 интернет-магазинов платформы электронной коммерции Magento оказались затронуты кампанией, которая скрывает код для кражи данных кредитных карт в виде масштабируемого векторного графического изображения (SVG) размером в пиксель.
При нажатии на кнопку оформления заказа жертва видит всплывающее окно, способное проверить данные карты и платёжную информацию.
Кампания была обнаружена компанией Sansec, специализирующейся на безопасности электронной коммерции. Исследователи полагают, что злоумышленник, вероятно, получил доступ, используя уязвимость PolyShell, обнаруженную в середине марта. PolyShell затрагивает все установки Magento Open Source и Adobe Commerce стабильной версии 2, позволяя выполнять неаутентифицированный код и захватывать учётные записи.
Sansec предупредила, что более половины всех уязвимых магазинов стали целью атак PolyShell, в некоторых случаях с использованием скиммеров платёжных карт, работающих с WebRTC, для скрытой кражи данных.
В ходе последней кампании исследователи обнаружили, что вредоносное ПО внедряется в HTML-код целевого веб-сайта в виде SVG-элемента размером 1x1 пиксель с обработчиком «onload». «Обработчик onload содержит весь полезный груз скиммера, закодированный в base64 внутри вызова atob() и выполняемый с помощью setTimeout. Этот метод позволяет избежать создания внешних ссылок на скрипты, которые обычно обнаруживаются сканерами безопасности. Всё вредоносное ПО находится внутри кода, закодированное как один строковый атрибут», — объясняют в Sansec.
Когда покупатели нажимают кнопку «Оформить заказ» в скомпрометированных магазинах, вредоносный скрипт перехватывает клик и отображает поддельное всплывающее окно «Безопасная оплата», содержащее поля для ввода данных карты и форму выставления счетов.
Платежные данные, отправленные на этой странице, проверяются в режиме реального времени с использованием метода проверки Luhn и передаются злоумышленнику в формате JSON, зашифрованном с помощью XOR и обфусцированном с помощью Base64.
В Sansec выявили шесть доменов, осуществляющих утечку данных, все они размещены в IncogNet LLC (AS40663) в Нидерландах, и каждый из них получает данные от 10-15 подтверждённых жертв.
Исследователи рекомендуют следующее:
найти скрытые SVG-теги с атрибутом onload, используя atob(), и удалить их из файлов сайта;
проверить наличие ключа mgxcv в localStorage браузера, так как это может указывать на кражу платёжных данных;
отслеживать и блокировать запросы к /fb_metrics.php или любым незнакомым доменам, связанным с аналитикой;
заблокировать весь трафик на IP-адрес 23.137.249.67 и связанные с ним домены.
Пока Adobe не выпустила обновление безопасности для устранения уязвимости PolyShell в производственных версиях Magento. Компания предоставила исправление только в предварительной версии 2.4.9-alpha3+.
Владельцам и администраторам веб-сайтов рекомендуется обновить Magento до последней бета-версии.
Осенью VirusTotal обнаружил фишинговую кампанию, скрытую в файлах SVG, авторы которой имитируют работу порталов судебной системы Колумбии и распространяют вредоносное ПО.
Кампанию выявили после того, как VirusTotal добавил поддержку SVG в свою платформу AI Code Insight. Эта функция анализирует загруженные образцы файлов с помощью машинного обучения для создания сводок о подозрительном или вредоносном поведении.
В VirusTotal обнаружили SVG-файл, который не распознавало антивирусное сканирование, но функция Code Insight помечала как использующий JavaScript для отображения HTML-кода, имитирующего портал судебной системы Колумбии. Такие файлы изображений применили в кампании для отображения поддельных порталов с фальшивым индикатором загрузки, в конечном итоге предлагая пользователю загрузить защищённый паролем ZIP-архив. Пароль к этому файлу отображается на странице поддельного портала.
