10 апреля 2026, 14:47
Хакеры стали прятать вредоносный исходник в SVG-изображении размером 1×1 пиксель
Почти 100 интернет-магазинов платформы электронной коммерции Magento оказались затронуты кампанией, которая скрывает код для кражи данных кредитных карт в виде масштабируемого векторного графического изображения (SVG) размером в пиксель.
При нажатии на кнопку оформления заказа жертва видит всплывающее окно, способное проверить информация карты и платёжную информацию.
Кампания была обнаружена компанией Sansec, специализирующейся на безопасности электронной коммерции. Исследователи полагают, что злоумышленник, вероятно, получил доступ, используя уязвимость PolyShell, обнаруженную в середине марта. PolyShell затрагивает все установки Magento Open Source и Adobe Commerce стабильной версии 2, позволяя выполнять неаутентифицированный исходник и захватывать учётные записи.
Sansec предупредила, что более половины всех уязвимых магазинов стали целью атак PolyShell, в некоторых случаях с использованием скиммеров платёжных карт, работающих с WebRTC, для скрытой кражи данных.
В процессе последней кампании исследователи обнаружили, что вредоносное ПО внедряется в HTML-код целевого веб-сайта в виде SVG-элемента размером 1x1 пиксель с обработчиком «onload». «Обработчик onload содержит весь ценный груз скиммера, закодированный в base64 внутри вызова atob() и выполняемый с помощью setTimeout. Этот способ позволяет избежать создания внешних ссылок на скрипты, которые обычно обнаруживаются сканерами безопасности. Всё вредоносное ПО находится внутри кода, закодированное как один строковый атрибут», — объясняют в Sansec.
Когда покупатели нажимают кнопку «Оформить заказ» в скомпрометированных магазинах, вредоносный скрипт перехватывает клик и отображает поддельное всплывающее окно «Безопасная оплата», содержащее поля для ввода данных карты и форму выставления счетов.
Платежные данные, отправленные на этой странице, проверяются в режиме реального времени с использованием метода проверки Luhn и передаются злоумышленнику в формате JSON, зашифрованном с помощью XOR и обфусцированном с помощью Base64.
В Sansec выявили шесть доменов, осуществляющих утечку данных, все они размещены в IncogNet LLC (AS40663) в Нидерландах, и каждый из них получает информация от 10-15 подтверждённых жертв.
Исследователи рекомендуют следующее:
найти скрытые SVG-теги с атрибутом onload, используя atob(), и удалить их из файлов сайта;
проверить наличие ключа mgxcv в localStorage браузера, так как это может указывать на кражу платёжных данных;
отслеживать и блокировать запросы к /fb_metrics.php или любым незнакомым доменам, связанным с аналитикой;
заблокировать весь трафик на IP-адрес 23.137.249.67 и связанные с ним домены.
Пока Adobe не выпустила апдейт безопасности для устранения уязвимости PolyShell в производственных версиях Magento. Компания предоставила исправление только в предварительной версии 2.4.9-alpha3+.
Владельцам и администраторам веб-сайтов рекомендуется апдейтнуть Magento до последней бета-версии.
Осенью VirusTotal обнаружил фишинговую кампанию, скрытую в файлах SVG, авторы которой имитируют работу порталов судебной системы Колумбии и распространяют вредоносное ПО.
Кампанию выявили после того, как VirusTotal добавил поддержку SVG в свою платформу AI Code Insight. Эта функция анализирует загруженные образцы файлов с помощью машинного обучения для создания сводок о подозрительном или вредоносном поведении.
В VirusTotal обнаружили SVG-файл, который не распознавало антивирусное сканирование, но опция Code Insight помечала как использующий JavaScript для отображения HTML-кода, имитирующего портал судебной системы Колумбии. Такие файлы изображений применили в кампании для отображения поддельных порталов с фальшивым индикатором загрузки, в конечном итоге предлагая пользователю скачать защищённый паролем ZIP-архив. Пароль к этому файлу отображается на странице поддельного портала.
Читают сейчас

2 часа назад
ИИ-агент для каждого: запущен ChatGPT Work
Одновременно с запуском GPT-5.6 OpenAI представила самую широкую переделку своих интерфейсов. ChatGPT Work — свежий режим вокруг ChatGPT, практически агент для рабочих задач, рассчитанный не на програ

2 часа назад
Вышла GPT-5.6: топовый ИИ теперь даже бесплатно
OpenAI открыла доступ к семейству моделей GPT-5.6: флагману Sol, сбалансированной Terra и самой дешевой Luna. Раскатка в ChatGPT, Codex и программный оболочку уже стартовала и займет до 24 часов по вс

3 часа назад
Власти Китая потребовали от автопроизводителей вернуть физические кнопки для 19 функций
Китайские регуляторы утвердили требования, обязывающие автопроизводителей с 1 июля 2027 года оснащать все продаваемые в стране автомобили физическими органами управления для 19 основных функций, говор

4 часа назад
14 июля все ваши текстово-графические объявления умрут
Ну ладно, можно без нагнетания, текстово-графические объявления перестанут существовать и их место займут Комбинаторные объявления. Комбинаторные - это не какая-то новинка Яндекса, они уже существуют

4 часа назад
Биологи нашли способ, который уничтожает 99% раковых клеток без химиотерапии — в лабораторных условиях
Учёные, возможно, нашли метод уничтожать раковые клетки, не прибегая на начальном этапе к химиотерапии, хирургическому вмешательству или лучевой терапии. Этот решение получил название «молекулярный от