Новая волна атак на Magento: платежные данные покупателей похищаются с помощью невидимого SVG-скиммера

Атака была направлена на сайты, которые до сих пор не защищены от критической уязвимости, получившей название PolyShell. Эта проблема безопасности, известная уже продолжительное время, позволяет злоумышленникам выполнять произвольный код на сервере, что, в свою очередь, открывает путь для полного контроля над магазином. Исследователи из компании Sansec обнаружили в начале апреля, что данные с зараженных ресурсов начали массово поступать на шесть доменов для эксфильтрации, причем пять из них ранее не фигурировали в подобных инцидентах. Это указывает на активность новой или существенно модернизированной киберпреступной группы.

Техническая сторона атаки отличается высоким уровнем скрытности. Вместо загрузки внешнего скрипта, что легко обнаруживается большинством сканеров безопасности, злоумышленники внедряют в код страницы магазина невидимый SVG-элемент размером в один пиксель. Весь вредоносный функционал - скиммер - закодирован в формате base64 и размещен прямо в обработчике события "onload" этого элемента. Данная техника, которую эксперты называют "двойным тапом", позволяет обойти многие сигнатуры систем обнаружения вторжений (IDS), ориентированные на поиск подозрительных внешних ссылок или инъекций скриптов. Полезная нагрузка активируется с небольшой задержкой после загрузки страницы, что дополнительно затрудняет ее обнаружение.

Механизм работы скиммера выстроен крайне продуманно с точки зрения социальной инженерии. Когда покупатель нажимает на любую кнопку перехода к оплате, вредоносный код перехватывает это событие, используя параметр "useCapture". Вместо реальной страницы оформления заказа пользователю показывается бесшовная, технически безупречная поддельная форма. Она содержит все стандартные элементы: заголовок "Безопасная оплата" с иконкой замка, поля для ввода номера карты с реальной проверкой алгоритмом Луна, срок действия, CVV-код, а также полные поля для плательщика. Если же клиент выберет опцию "Другой способ оплаты", мошенническое окно закроется, и пользователь будет перенаправлен на настоящий процесс оплаты, даже не заподозрив подмены.

После того как жертва вводит все данные и нажимает "Оплатить", начинается этап эксфильтрации. Скиммер собирает всю информацию, упаковывает ее в JSON, а затем применяет двойное шифрование. Сначала данные подвергаются операции XOR с ключом "script", а результат кодируется в base64. Для отправки на сервер злоумышленников используется специальный эндпоинт "/fb_metrics.php", маскирующийся под трафик аналитики Facebook*. Передача осуществляется через API "fetch" в режиме "no-cors", а в случае неудачи - через скрытый iframe. Чтобы не привлекать внимание повторным перехватом данных того же покупателя, скиммер помечает его в локальном хранилище браузера и только затем перенаправляет на оригинальную страницу завершения покупки.

Последствия таких атак носят катастрофический характер как для бизнеса, так и для конечных потребителей. Владельцы зараженных магазинов не только несут прямые финансовые убытки из-за мошеннических списаний со карт их клиентов, но и сталкиваются с колоссальными репутационными издержками, утратой доверия и потенциальными судебными исками. Кроме того, подобные инциденты могут привести к серьезным штрафам со стороны регуляторов, особенно в юрисдикциях с жестким законодательством о защите персональных данных, таком как GDPR в Европе.

Данный случай наглядно иллюстрирует одну из ключевых проблем экосистемы Magento и других сложных CMS - длительный жизненный цикл известных уязвимостей. Несмотря на то что патчи для уязвимости PolyShell были выпущены давно, значительное число магазинов по всему миру либо не устанавливают обновления своевременно, либо используют не поддерживаемые устаревшие версии платформы. Это создает для преступников обширное и относительно легкое поле для деятельности. Специалистам по информационной безопасности и администраторам электронной коммерции необходимо в приоритетном порядке обеспечить установку всех актуальных обновлений безопасности, проводить регулярный аудит пользовательского и стороннего кода на страницах оплаты, а также внедрять решения для мониторинга целостности файлов и обнаружения аномальной активности, включая неожиданные исходящие подключения к новым доменам.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 23.137.249.67

Domains

• goingfatter.com
• morningflexpleasure.com
• reusable-flex.com
• statistics-for-you.com
• statistics-renew.com
• wellfacing.com