Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Один лишний пиксель и пустая карта. Рассказываем, как хакеры воруют деньги через невидимые картинки

Magento Magecart Sansec PolyShell SVG-атака скиммер утечка данных
Один лишний пиксель и пустая карта. Рассказываем, как хакеры воруют деньги через невидимые картинки
Magento Magecart Sansec PolyShell SVG-атака скиммер утечка данных

Достаточно просто зайти на страницу знакомого магазина, и ваш кошелёк уже ничего не спасёт.

image

Массовая атака на интернет-магазины на базе Magento показала, насколько изобретательными стали злоумышленники. Почти сотня сайтов оказалась заражена скрытым вредоносным кодом, который маскируется под обычный элемент страницы и незаметно перехватывает платёжные данные покупателей.

7 апреля команда Sansec зафиксировала новую волну атак типа Magecart. Вредонос внедряли прямо в HTML-код страниц с помощью миниатюрного SVG-элемента размером один пиксель. Внутри атрибута onload скрывался закодированный скрипт, который запускался автоматически при загрузке страницы. Такой подход позволил обойти многие средства защиты, поскольку внешние скрипты при проверке не обнаруживались.

После заражения сайт продолжал работать как обычно, но при попытке перейти к оплате пользователь видел поддельное окно «Secure Checkout». Интерфейс выглядел убедительно: форма ввода карты, проверка номера по алгоритму Луна, поля для адреса и других данных. После ввода информации скрипт отправлял данные злоумышленникам и перенаправлял покупателя на настоящую страницу оплаты. В большинстве случаев подмена оставалась незамеченной.

Собранные данные шифровались с помощью простого XOR с ключом «script», затем кодировались в base64 и отправлялись на один из шести доменов. Все адреса вели на один сервер в Нидерландах. Конечная точка приёма маскировалась под сервис аналитики Facebook, что дополнительно усложняло обнаружение.

Эксплуатация уязвимости PolyShell, по данным Sansec, стала вероятной точкой входа. Уязвимость продолжает затрагивать незащищённые магазины Magento и позволяет загружать вредоносные файлы без ограничений.

После передачи данных скрипт сохранял специальный маркер в localStorage браузера, чтобы не перехватывать информацию повторно, и возвращал пользователя к нормальному сценарию оформления заказа.

Атака затронула 99 магазинов, при этом часть доменов для вывода данных ранее не использовалась в подобных кампаниях. Специалисты рекомендуют проверять код страниц на наличие подозрительных SVG-элементов, анализировать сетевые запросы и срочно закрывать уязвимости, связанные с загрузкой файлов.