Νέα Καμπάνια Κλοπής Δεδομένων μέσω SVG Στα Ηλεκτρονικά Καταστήματα
Μια ανατριχιαστική νέα καμπάνια έχει προκύψει, που επηρεάζει σχεδόν 100 ηλεκτρονικά καταστήματα που χρησιμοποιούν την πλατφόρμα Magento, με σκοπό την κλοπή πιστωτικών καρτών. Οι χάκερ χρησιμοποιούν μια κρυφή τεχνική με εικόνες Scalable Vector Graphics (SVG) μεγέθους 1 pixel, προκειμένου να ενσωματώσουν κωδικούς κλοπής πιστωτικών καρτών στους ιστότοπούς τους.
Πώς Λειτουργεί η Καμπάνια
Η νέα αυτή απάτη ανακαλύφθηκε από την εταιρεία ασφάλειας ηλεκτρονικού εμπορίου Sansec, η οποία διαπίστωσε ότι οι χάκερ χρησιμοποιούν μια πειστική επικαλυψη στο σημείο ολοκλήρωσης της αγοράς. Όταν οι ανυποψίαστοι πελάτες εισάγουν τα στοιχεία της πιστωτικής τους κάρτας, οι χάκερ έχουν πρόσβαση στους κωδικούς αυτούς, τους οποίους κρυπτογραφούν και στέλνουν στους servers τους.
Εκμετάλλευση Ευπαθειών
Οι ερευνητές πιστεύουν ότι οι χάκερ προχώρησαν σε αυτή την κίνηση εκμεταλλευόμενοι την ευπάθεια PolyShell, η οποία έχει αποκαλυφθεί στα μέσα Μαρτίου και επηρεάζει όλες τις εγκαταστάσεις του Magento Open Source και Adobe Commerce stable έκδοσης 2. Αυτή η ευπάθεια επιτρέπει την εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας, δίνοντας τη δυνατότητα στους εισβολείς να αναλάβουν τους λογαριασμούς χρηστών.
Η Μέθοδος Επίθεσης
Πώς οι χάκερ διεισδύουν στα συστήματα:
- Η κακόβουλη γραφή εμφυτεύεται σε SVG εικόνα 1×1 pixel με έναν χειριστή «onload» στο HTML του ιστότοπου-στόχου.
- Ο χειριστής αυτός περιέχει το κακόβουλο φορτίο skimmer, κωδικοποιημένο με base64 και εκτελείται μέσω setTimeout.
- Αυτή η τεχνική αποφεύγει την ανίχνευση από τα εργαλεία ασφάλειας.
Όταν οι πελάτες κάνουν κλικ στην ολοκλήρωση αγοράς, το spyware παρεμποδίζει την ενέργεια και εμφανίζει μια ψεύτικη επικάλυψη με την ένδειξη “Ασφαλής ολοκλήρωση αγοράς”, ζητώντας τα στοιχεία της κάρτας. Οι κωδικοί αυτοί μεταφέρονται σε κρυπτογραφημένη μορφή JSON.
Επικίνδυνοι Servers
Η Sansec εντόπισε συγκεκριμένους τομείς φιλοξενίας, οι οποίοι ανήκουν στην IncogNet LLC στην Ολλανδία. Αυτοί οι τομείς δέχονται δεδομένα από 10 έως 15 επιβεβαιωμένα θύματα ανά τον κόσμο, προειδοποιώντας για τη σοβαρότητα της κατάστασης.
Προτάσεις Προστασίας
Για να προστατευτούν οι χρήστες, η Sansec προτείνει τα εξής μέτρα:
- Αναζητήστε κρυφές ετικέτες SVG με χαρακτηριστικό onload και αφαιρέστε τις από τα αρχεία του ιστότοπού σας.
- Ελέγξτε την τοπική αποθήκευση του προγράμματος περιήγησης για το κλειδί _mgx_cv, που υποδηλώνει πιθανή κλοπή δεδομένων.
- Παρακολουθήστε και αποκλείστε αιτήματα σε
/fb_metrics.phpκαι σε άγνωστους τομείς. - Αποκλείστε όλη την κίνηση προς τη διεύθυνση IP 23.137.249.67.
Καταστάσεις και Αντίκτυποι
Μέχρι τώρα, η Adobe δεν έχει κυκλοφορήσει ενημερώσεις ασφαλείας για τη διόρθωση του ελαττώματος PolyShell στις παραγωγικές εκδόσεις του Magento. Διαχειριστές συστημάτων καλούνται να αναβαθμίσουν το Magento στην πιο πρόσφατη beta διαθέσιμη.
Επιπλέον, η Adobe δεν έχει απαντήσει στις επανειλημμένες αιτήσεις μας για σχόλιο σχετικά με την κατάσταση.
Η επαγρύπνηση είναι ζωτικής σημασίας. Οι ιδιοκτήτες καταστημάτων θα πρέπει να εφαρμόσουν μετριαστικά μέτρα και να αναβαθμίσουν τις πλατφόρμες τους. Για περισσότερες πληροφορίες σχετικά με την ασφάλεια ηλεκτρονικού εμπορίου, μπορείτε να επισκεφθείτε το Adaptive Security.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS επιβεβαιώνει εάν τα ασφαλιστικά σας μέτρα είναι αποδοτικά. Μάθετε περισσότερα για τις επιφάνειες επικύρωσης στο Whitepaper μας.