Масштабная кампания, затронувшая около 100 интернет-магазинов на платформе электронной коммерции Magento, скрывает код для кражи данных кредитных карт в изображении Scalable Vector Graphics (SVG) размером в один пиксель.
При нажатии на кнопку оформления заказа жертве демонстрируется убедительная накладка, которая может проверять данные карты и платежные реквизиты.
Кампания была обнаружена компанией Sansec, специализирующейся на безопасности электронной коммерции. Исследователи полагают, что злоумышленник, вероятно, получил доступ, используя уязвимость PolyShell, о которой стало известно в середине марта.
PolyShell затрагивает все стабильные версии Magento Open Source и Adobe Commerce версии 2, позволяя выполнять код без аутентификации и захватывать учетные записи.
Sansec предупредила, что более половины всех уязвимых магазинов стали целями атак PolyShell, которые в некоторых случаях развертывали скиммеры платежных карт с использованием WebRTC для скрытой эксфильтрации данных.
В последней кампании исследователи обнаружили, что вредоносное ПО внедряется в HTML целевого веб-сайта в виде SVG-элемента размером 1×1 пиксель с обработчиком ‘onload’.
«Обработчик onload содержит весь полезный груз скиммера, закодированный в base64 внутри вызова atob() и выполняемый через setTimeout», — объясняет Sansec.
«Этот метод позволяет избежать создания внешних ссылок на скрипты, которые обычно помечаются сканерами безопасности. Все вредоносное ПО находится внутри, закодированное как единый строковый атрибут».
Когда ничего не подозревающие покупатели нажимают кнопку оформления заказа в скомпрометированных магазинах, вредоносный скрипт перехватывает клик и отображает поддельную накладку «Безопасное оформление заказа», которая включает поля для ввода данных карты и форму выставления счета.
Платежные данные, отправленные на этой странице, проверяются в режиме реального времени с использованием верификации Луна и эксфильтруются злоумышленнику в формате JSON, обфусцированном с помощью XOR-шифрования и base64.
Sansec идентифицировала шесть доменов эксфильтрации, все они размещены у IncogNet LLC (AS40663) в Нидерландах, и каждый из них получал данные от 10 до 15 подтвержденных жертв.
Для защиты от этой кампании Sansec рекомендует следующее:
- Искать скрытые теги SVG с атрибутом onload, использующим atob(), и удалять их из файлов вашего сайта
- Проверить наличие ключа _mgx_cv в локальном хранилище браузера, так как это указывает на возможную кражу платежных данных
- Отслеживать и блокировать запросы к /fb_metrics.php или любым незнакомым доменам, похожим на аналитические
- Блокировать весь трафик на IP-адрес 23.137.249.67 и связанные с ним домены
На момент написания Adobe все еще не выпустила обновление безопасности для устранения уязвимости PolyShell в производственных версиях Magento. Вендор предоставил исправление только для предварительной версии 2.4.9-alpha3+.
Кроме того, Adobe не ответила на наши неоднократные запросы о комментариях по этой теме.
Владельцам/администраторам веб-сайтов рекомендуется применить все доступные меры смягчения последствий и, по возможности, обновить Magento до последней бета-версии.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
