Хакеры стали прятать вредоносный исходник в SVG-изображении размером 1×1 пиксель

Почти 100 интернет-магазинов платформы электронной коммерции Magento оказались затронуты кампанией, которая скрывает код для кражи данных кредитных карт в виде масштабируемого векторного графического изображения (SVG) размером в пиксель.

При нажатии на кнопку оформления заказа жертва видит всплывающее окно, способное проверить информация карты и платёжную информацию.

Кампания была обнаружена компанией Sansec, специализирующейся на безопасности электронной коммерции. Исследователи полагают, что злоумышленник, вероятно, получил доступ, используя уязвимость PolyShell, обнаруженную в середине марта. PolyShell затрагивает все установки Magento Open Source и Adobe Commerce стабильной версии 2, позволяя выполнять неаутентифицированный исходник и захватывать учётные записи.

Sansec предупредила, что более половины всех уязвимых магазинов стали целью атак PolyShell, в некоторых случаях с использованием скиммеров платёжных карт, работающих с WebRTC, для скрытой кражи данных.

В процессе последней кампании исследователи обнаружили, что вредоносное ПО внедряется в HTML-код целевого веб-сайта в виде SVG-элемента размером 1x1 пиксель с обработчиком «onload». «Обработчик onload содержит весь ценный груз скиммера, закодированный в base64 внутри вызова atob() и выполняемый с помощью setTimeout. Этот способ позволяет избежать создания внешних ссылок на скрипты, которые обычно обнаруживаются сканерами безопасности. Всё вредоносное ПО находится внутри кода, закодированное как один строковый атрибут», — объясняют в Sansec.

Когда покупатели нажимают кнопку «Оформить заказ» в скомпрометированных магазинах, вредоносный скрипт перехватывает клик и отображает поддельное всплывающее окно «Безопасная оплата», содержащее поля для ввода данных карты и форму выставления счетов.

Платежные данные, отправленные на этой странице, проверяются в режиме реального времени с использованием метода проверки Luhn и передаются злоумышленнику в формате JSON, зашифрованном с помощью XOR и обфусцированном с помощью Base64. 

В Sansec выявили шесть доменов, осуществляющих утечку данных, все они размещены в IncogNet LLC (AS40663) в Нидерландах, и каждый из них получает информация от 10-15 подтверждённых жертв.

Исследователи рекомендуют следующее:

• найти скрытые SVG-теги с атрибутом onload, используя atob(), и удалить их из файлов сайта;

• проверить наличие ключа mgxcv в localStorage браузера, так как это может указывать на кражу платёжных данных;

• отслеживать и блокировать запросы к /fb_metrics.php или любым незнакомым доменам, связанным с аналитикой;

• заблокировать весь трафик на IP-адрес 23.137.249.67 и связанные с ним домены.

Пока Adobe не выпустила апдейт безопасности для устранения уязвимости PolyShell в производственных версиях Magento. Компания предоставила исправление только в предварительной версии 2.4.9-alpha3+.

Владельцам и администраторам веб-сайтов рекомендуется апдейтнуть Magento до последней бета-версии.

Осенью VirusTotal обнаружил фишинговую кампанию, скрытую в файлах SVG, авторы которой имитируют работу порталов судебной системы Колумбии и распространяют вредоносное ПО.

Кампанию выявили после того, как VirusTotal добавил поддержку SVG в свою платформу AI Code Insight. Эта функция анализирует загруженные образцы файлов с помощью машинного обучения для создания сводок о подозрительном или вредоносном поведении.

В VirusTotal обнаружили SVG-файл, который не распознавало антивирусное сканирование, но опция Code Insight помечала как использующий JavaScript для отображения HTML-кода, имитирующего портал судебной системы Колумбии. Такие файлы изображений применили в кампании для отображения поддельных порталов с фальшивым индикатором загрузки, в конечном итоге предлагая пользователю скачать защищённый паролем ZIP-архив. Пароль к этому файлу отображается на странице поддельного портала.