Uma campanha em larga escala, que já atingiu quase 100 lojas online que usam a plataforma Magento, está escondendo código para roubo de cartões de crédito dentro de uma imagem SVG mínima.
Ao clicar no botão de checkout, a vítima vê uma camada sobreposta convincente, capaz de validar dados do cartão e informações de cobrança.
A campanha foi descoberta pela empresa de segurança para eCommerce Sansec.
Os pesquisadores acreditam que o invasor provavelmente obteve acesso ao explorar a vulnerabilidade PolyShell, divulgada em meados de março.
O PolyShell afeta todas as instalações estáveis do Magento Open Source e do Adobe Commerce na versão 2, permitindo execução de código sem autenticação e takeover de contas.
A Sansec alertou que mais da metade das lojas vulneráveis foi alvo de ataques via PolyShell, que em alguns casos implantaram skimmers de pagamento usando WebRTC para exfiltração furtiva de dados.
Na campanha mais recente, os pesquisadores encontraram o malware injetado como um elemento SVG de 1x1 pixel, com um handler de `onload`, inserido no HTML do site alvo.
“O handler onload contém toda a carga útil do skimmer, codificada em base64 dentro de uma chamada atob() e executada via setTimeout”, explica a Sansec.
“Essa técnica evita a criação de referências externas de script, que normalmente são sinalizadas por scanners de segurança.
Todo o malware fica embutido no código, codificado como uma única string.”
Quando compradores desavisados clicam em checkout em lojas comprometidas, um script malicioso intercepta o clique e exibe uma falsa camada de “Secure Checkout”, com campos para cartão e um formulário de cobrança.
Os dados de pagamento enviados nessa página são validados em tempo real com a verificação de Luhn e exfiltrados ao atacante em formato JSON, com ofuscação em base64 e criptografia XOR.
A Sansec identificou seis domínios de exfiltração, todos hospedados na IncogNet LLC, identificada como AS40663, nos Países Baixos.
Cada um deles recebeu dados de 10 a 15 vítimas confirmadas.
Para se proteger contra essa campanha, a Sansec recomenda:
- Procurar tags SVG ocultas com atributo onload usando atob() e removê-las dos arquivos do site
- Verificar se a chave `_mgx_cv` existe no localStorage do navegador, pois isso pode indicar que dados de pagamento foram roubados
- Monitorar e bloquear requisições para `/fb_metrics.php` ou para quaisquer domínios desconhecidos com aparência de analytics
- Bloquear todo o tráfego para o IP 23.137.249.67 e domínios associados
Até o momento da publicação, a Adobe ainda não havia lançado uma atualização de segurança para corrigir a falha PolyShell nas versões de produção do Magento.
A empresa disponibilizou o patch apenas na versão pré-lançamento 2.4.9-alpha3+.
A Adobe também não respondeu aos pedidos repetidos de comentário sobre o caso.
Administradores e responsáveis por sites devem aplicar todas as mitigations disponíveis e, se possível, atualizar o Magento para a versão beta mais recente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...