Ein Datendiebstahl-Betrieb hat etwa hundert Online-Shops gefährdet, die mit der Magento-Plattform arbeiten: Der schädliche Code, der Kartennummern entfernt, wird in einem Pixel versteckt und als Skalierbare Vektorgrafik (SVG) Element verkleidet. Die Untersuchung, die diese Kampagne zum Licht brachte, wurde von der Sicherheitsfirma eCommerce veröffentlicht Sansec, deren Techniker verdeutlichen, wie Angreifer den Skimmer injizieren und ausführen können, ohne externe Referenzen zu hinterlassen, die viele Erkennungswerkzeuge kennzeichnen.
Die Technik ist anscheinend einfach und zugleich genial: der Skimmer lebt vollständig in einem 1 × 1 Pixel SVG, das ein Attribut beinhaltet Aufladen. Dieser Handler enthält die in Base64 kodierte Nutzlast, mitatob ()und dann durch einen Timer laufen; so werden die Etiketten vermieden< Script >und die meisten automatisierten Scanner erkennen es nicht leicht. Sansec beschreibt diese Taktik als eine Möglichkeit, alle Malware "verkapselt" in einem einzigen Attribut zu halten, ohne Verweis auf Dateien außerhalb der Website.
In der Praxis, wenn ein legitimer Käufer die Zahlungstaste in einem kompromittierten Speicher drückt, nimmt ein bösartiges JavaScript diese Aktion ab und zeigt ein auftauchendes Fenster, das einen sicheren Zahlungsvorgang simuliert. Die Überlappung umfasst die üblichen Felder für Kartendaten und Abrechnung und macht Echtzeit-Checks - zum Beispiel Verifikation mit Luhns Algorithmus -, um zu validieren, dass die vorgestellten Zahlen korrekt erscheinen. Die erfassten Daten werden in JSON verpackt, sie sind obfuscan mit base64 und zusätzlich einfache Operationen wie XOR werden angewendet, bevor sie an den Angreifer gesendet werden.
Sansec verfolgte die Exfiltration auf sechs Domains, die die Informationen erhielten und fand, dass alle in IncogNet LLC (AS40663) in den Niederlanden untergebracht wurden, wobei jede Domain Daten von zehn bis fünfzehn bestätigten Opfern erhält. In verwandten Kampagnen hatten die Angreifer sogar WebRTC als Ausgabekanal verwendet, um Erkennungen auf Basis klassischer HTTP-Anfragen zu vermeiden.
Die Forscher glauben, dass das Tor zu dieser Welle hält die Schwachstelle bekannt als Polyshell, Mitte März veröffentlicht; dieser Fehler beeinflusst die Einrichtungen von Magento Open Source und Adobe Commerce in stabilen Versionen 2.x und erlaubt die Ausführung von unauthenticated Code und die Aufnahme von Konten. Adobe hat jetzt nur die Korrektur in einer Pre-Release-Version (2.4.9-alpha3 +) enthalten, so dass viele Produktionsstätten potenziell gefährdet bleiben. Für einen Kontext über die Schwerkraft und den Hintergrund dieser "Magecart"-Typangriffe, siehe den allgemeinen Eintrag auf das Phänomen. in Wikipedia.
Sansec gibt eine Reihe von spezifischen Signalen und Aktionen für Speichermanager an, die helfen können, diesen Angriff zu erkennen und zu mildern. Unter den direktsten Tracks ist die Anwesenheit von SVG-Tags mit einem AttributAufladenwer ruftatob (); diese Kette ist ein guter Ausgangspunkt für die Suche nach Injektionen. Ein weiteres Verpflichtungszeichen für die Überprüfung im Browser ist die Existenz des Schlüssels_ Mgx _ cvin Ortsverzeichnis, da Ihre Anwesenheit angeben kann, dass die Zahlungsdaten von der schädlichen Last gespeichert wurden. Es wird auch empfohlen, Anfragen auf ungewöhnlichen Strecken wie/ fb _ metrics.phpoder Domänen, die analytische Dienste durchlaufen und ggf. den Verkehr auf IP 23.137.249.67 und damit verbundene Domänen filtern.
Zusätzlich zu diesen spezifischen Erkennungen sollten operative Maßnahmen unverzüglich durchgeführt werden. Wenn die Website für PolyShell verletzlich ist, ist es wichtig, alle verfügbaren Minderungen sofort anzuwenden und, wenn möglich, aktualisieren Sie auf die Version, die Korrektur enthält oder zu einem sicheren Zweig zu bewegen. Manager sollten die Dateiintegrität auf dem Server überprüfen, indem sie mit sauberen bekannten Kopien, Auditkonten und administrativen Anmeldeinformationen, Kraftkennwort und API-Schlüsseländerung vergleichen und Regeln in der WAF anwenden, um Inline-Injektionsmuster zu blockieren. Es ist auch eine gute Praxis, Zahlungsanbieter zu informieren und einen Kundenantwortplan vorzubereiten, wenn Datendiebstahl bestätigt wird; PCI und Datenschutzgesetze erfordern einige koordinierte Antworten.
Für regelmäßige Käufer gibt es einfache Vorkehrungen, die das Risiko reduzieren: Verwenden Sie externe Zahlungsmethoden, soweit möglich (z.B. Dienste, die die Karte berühren), bevorzugen virtuelle oder Single-Use-Karten für Online-Käufe und überwachen die Bewegungen im Bankextrakt nach dem Kauf. Wenn ein Pop-up-Fenster, das die Daten der Karte requests erscheint, "entfremden" im Speicherfluss erscheint, wenn die Zahlung, es ist angemessen, die Operation zu schließen und den Handel auf einem anderen Kanal zu kontaktieren, bevor versuchen, wieder zu zahlen.
Auf institutioneller Ebene unterstreicht dieser Vorfall die Notwendigkeit, dass Plattform-Anbieter schnell vor kritischen Sicherheitslücken handeln und für Betriebsteams Erkennungsprozesse aufrecht erhalten, die nicht allein von Signaturen in externen Dateien abhängen. Tools, die Inline-Skripte, Server-Integritätskontrollen und eine Bereitstellungsstrategie inspizieren, die direkte Änderungen in der Produktion begrenzen, helfen, die Angriffsfläche zu reduzieren.
Wenn Sie in den ursprünglichen technischen Bericht gehen möchten, enthält die Sansec-Veröffentlichung die Muster und Diagramme der Nutzlast: Sansec - SVG aufladen Magecart Skimmer. Um den Algorithmus besser zu verstehen, den Skimmer verwenden, um Kartennummern in Echtzeit zu validieren, ist die Erklärung des Luhn-Algorithmus verfügbar in Wikipedia. Und um die Versions- und Dokumentationshinweise von Adobe Commerce zu überprüfen, siehe den Release Notes Abschnitt der Plattform auf der Adobe Commerce Release Notes.
Diese Episode ist eine Erinnerung, dass Bedrohungen im elektronischen Handel nicht immer in offensichtlichen Dateien oder in Anrufen auf externe Domänen verborgen sind; manchmal ist die Bedrohung in einem Pixel und hängt davon ab, wie schnell Administratoren und Lieferanten Patches anwenden und steuern, so dass Pixel nicht mehr eine Falle ist.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...