Массовая атака на интернет-магазины показала, насколько изобретательными стали современные хакеры. Почти сотня сайтов на платформе Magento оказалась заражена вредоносным кодом, который прячется внутри обычной картинки размером в один пиксель. Исследователи из Sansec зафиксировали новую волну атак Magecart: злоумышленники внедряли скрытый SVG-элемент прямо в HTML, а внутри атрибута onload прятался закодированный скрипт. Внешних вызовов не было, поэтому многие системы защиты просто не заметили подмены.
Магазин продолжал работать как ни в чем не бывало, но в момент оплаты перед покупателем всплывало поддельное окно с надписью «Secure Checkout». Выглядело оно убедительно: форма для ввода карты с проверкой номера по алгоритму Луна, поля для адреса и других данных. Человек вводил всё как обычно, а скрипт в это время перехватывал информацию, шифровал её простым XOR с ключом «script», упаковывал в base64 и отправлял на один из шести доменов. Все адреса вели на один сервер в Нидерландax, а конечная точка маскировалась под сервис аналитики Facebook.
После успешного перехвата жертву перенаправляли на настоящую страницу оплаты, а в браузере сохранялся маркер, чтобы не мучить одного пользователя дважды. Большинство покупателей так и не узнали, что их данные только что ушли в руки хакеров. Точкой входа, скорее всего, стала старая уязвимость PolyShell, которая до сих пор позволяет загружать вредоносные файлы на незащищенные магазины Magento.
Всего атака затронула 99 сайтов, причем часть доменов для сбора данных раньше не использовалась в подобных кампаниях. Это говорит о том, что инфраструктура злоумышленников постоянно обновляется.
Один пиксель, крошечный кусочек кода и минута невнимательности — всё, что нужно, чтобы лишиться денег с карты. Владельцам магазинов стоит срочно проверить свои страницы на подозрительные SVG-элементы, закрыть дыры с загрузкой файлов и не надеяться только на автоматические системы защиты. Потому что хакеры уже доказали: они могут спрятать бомбу там, где вы её никогда не найдёте.