



Хакеры стали прятать вредоносный код в SVG-изображении размером 1×1 пиксель
Почти 100 интернет-магазинов платформы электронной коммерции Magento оказались затронуты кампанией, которая скрывает код для кражи данных кредитных карт в виде масштабируемого векторного графического изображения (SVG) размером в пиксель.
При нажатии на кнопку оформления заказа жертва видит всплывающее окно, способное проверить данные карты и платёжную информацию.
Кампания была обнаружена компанией Sansec, специализирующейся на безопасности электронной коммерции. Исследователи полагают, что злоумышленник, вероятно, получил доступ, используя уязвимость PolyShell, обнаруженную в середине марта. PolyShell затрагивает все установки Magento Open Source и Adobe Commerce стабильной версии 2, позволяя выполнять неаутентифицированный код и захватывать учётные записи.
Sansec предупредила, что более половины всех уязвимых магазинов стали целью атак PolyShell, в некоторых случаях с использованием скиммеров платёжных карт, работающих с WebRTC, для скрытой кражи данных.
В ходе последней кампании исследователи обнаружили, что вредоносное ПО внедряется в HTML-код целевого веб-сайта в виде SVG-элемента размером 1x1 пиксель с обработчиком «onload». «Обработчик onload содержит весь полезный груз скиммера, закодированный в base64 внутри вызова atob() и выполняемый с помощью setTimeout. Этот метод позволяет избежать создания внешних ссылок на скрипты, которые обычно обнаруживаются сканерами безопасности. Всё вредоносное ПО находится внутри кода, закодированное как один строковый атрибут», — объясняют в Sansec.
Когда покупатели нажимают кнопку «Оформить заказ» в скомпрометированных магазинах, вредоносный скрипт перехватывает клик и отображает поддельное всплывающее окно «Безопасная оплата», содержащее поля для ввода данных карты и форму выставления
Читать на habr.com