Добавить в корзинуПозвонить
Найти в Дзене
iTech News — IT-новости коротко
104 подписчика

Хакеры используют 1×1 пиксель SVG для кражи данных карт

1 мин
Хакеры скрыли коды кражи этих кредитных карт в SVG-изображениях размером 1×1 пиксель, что угрожает почти 100 онлайн-магазинам на платформе Magento. При нажатии на кнопку оформления заказа пользователи видят поддельный интерфейс, который собирает эти о картах и адресах. Эта атака была выявлена исследователями компании Sansec. Атака стала возможна благодаря уязвимости PolyShell, о которой стало известно в середине марта. Эта уязвимость затрагивает все установки Magento Open Source и Adobe Commerce версии 2, позволяя злоумышленникам исполнять код без аутентификации и захватывать аккаунты. По этим Sansec, более половины уязвимых магазинов уже стали жертвами таких атак. Метод интродукции вредоносного кода заключается в том, что он встроен в HTML-код страницы как атрибут на скрытом SVG-элементе. Этот элемент использует обработчик события onload для выполнения кода, что существенно затрудняет его обнаружение антивирусными системами. Когда пользователи нажат кнопку оформления заказа, активируе
Оглавление

Хакеры скрыли коды кражи этих кредитных карт в SVG-изображениях размером 1×1 пиксель, что угрожает почти 100 онлайн-магазинам на платформе Magento. При нажатии на кнопку оформления заказа пользователи видят поддельный интерфейс, который собирает эти о картах и адресах. Эта атака была выявлена исследователями компании Sansec.

Контекст атаки

Атака стала возможна благодаря уязвимости PolyShell, о которой стало известно в середине марта. Эта уязвимость затрагивает все установки Magento Open Source и Adobe Commerce версии 2, позволяя злоумышленникам исполнять код без аутентификации и захватывать аккаунты. По этим Sansec, более половины уязвимых магазинов уже стали жертвами таких атак.

Метод интродукции вредоносного кода заключается в том, что он встроен в HTML-код страницы как атрибут на скрытом SVG-элементе. Этот элемент использует обработчик события onload для выполнения кода, что существенно затрудняет его обнаружение антивирусными системами.

Технические детали

Когда пользователи нажат кнопку оформления заказа, активируется скрипт, который показывает фальшивый интерфейс «Безопасного оформления». Данные, введенные на этом интерфейсе, проходят верификацию с помощью алгоритма Луна и отправляются злоумышленникам в зашифрованном виде. Sansec выявила шесть доменов для экстракции данных, все они зарегистрированы на IncogNet LLC в Нидерландах.

Практические рекомендации

Чтобы защититься от подобных атак, Sansec рекомендует следующее:

  • Проверить наличие скрытых SVG-тегов с атрибутом onload и удалить их;
  • Проверить наличие ключа _mgx_cv в localStorage браузера, что может указывать на кражу данных;
  • Мониторить и блокировать запросы к /fb_metrics.php и аналогичным доменам;
  • Блокировать весь трафик к IP-адресу 23.137.249.67.

На момент написания статьи Adobe еще не выпустила обновление безопасности для исправления уязвимости PolyShell, и владельцам сайтов настоятельно рекомендовано применить все доступные меры безопасности и, при возможности, обновить Magento до последней предрелизной версии.

Продолжающаяся угроза кражи этих делает важным для владельцев онлайн-магазинов уделять особое внимание безопасности и обновлениям платформ.

The post Хакеры используют 1×1 пиксель SVG для кражи данных карт appeared first on iTech News.