Злоумышленники атаковали почти 100 интернет-магазинов на платформе Magento. Они внедряют в HTML‑код страницы оплаты SVG‑изображение 1×1 пиксель с обработчиком onload.
Злоумышленники атакуют интернет-магазины на платформе электронной коммерции Magento. Их цель — кража данных кредитных карт. Исследователи из Sansec обнаружили кампанию, которая затронула почти 100 магазинов.
Вредоносный код прячется в SVG‑элементе размером 1×1 пиксель. Он содержит обработчик onload. Вся нагрузка закодирована в base64 внутри вызова atob() и запускается через setTimeout. Такой способ не требует подключения внешних скриптов, которые защитные сканеры обычно считают подозрительными. Код остается встроенным в страницу.
Когда покупатель переходит к оплате, код перехватывает нажатие кнопки оформления заказа. На экране появляется поддельная форма Secure Checkout с полями для реквизитов карты и личных данных. Введенные сведения проверяются, затем шифруются с помощью XOR и маскируются кодировкой base64. После этого данные отправляются злоумышленнику в формате JSON.
Sansec связывает атаку с уязвимостью PolyShell, которую обнаружили в середине марта. Она затрагивает все установки Magento Open Source и Adobe Commerce стабильных версий ветки 2. Уязвимость позволяет выполнять код без проверки подлинности и получать контроль над учетными записями.
По данным Sansec, атакам подверглись более половины всех уязвимых магазинов. В некоторых случаях злоумышленники использовали WebRTC для скрытой передачи украденных данных. Исследователи выявили шесть доменов, на которые выводится информация. Все они размещены у IncogNet LLC в Нидерландах, на каждый приходится от 10 до 15 подтвержденных жертв.
Adobe пока не выпустила обновление безопасности для рабочих версий Magento. Исправление доступно только в предварительной версии 2.4.9-alpha3+. Sansec рекомендует владельцам сайтов проверить файлы на наличие скрытых SVG‑элементов с onload и atob(), заблокировать трафик к IP‑адресу 23.137.249.67 и по возможности перейти на последнюю бета-версию.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik
