Aa Aa Aa

Хакери навчалися викрадати кошти завдяки невидимому пікселю

Хакери навчалися викрадати кошти завдяки невидимому пікселю

Масова атака на інтернет-магазини на базі Magento продемонструвала, наскільки винахідливими стали зловмисники. Майже сотня сайтів виявилась заражена прихованим шкідливим кодом, який маскується під звичайний елемент сторінки і непомітно перехоплює платіжні дані покупців.

7 квітня команда Sansec зафіксувала нову хвилю атак типу Magecart. Шкідника впроваджували безпосередньо в HTML-код сторінок за допомогою мініатюрного SVG-елемента розміром один піксель. Всередині атрибута onload ховався закодований скрипт, який запускався автоматично під час завантаження сторінки. Такий підхід дозволив обійти чимало засобів захисту, оскільки зовнішні скрипти при перевірці не виявлялися.

Після зараження сайт продовжував працювати як зазвичай, але при спробі перейти до оплати користувач бачив підроблене вікно «Secure Checkout». Інтерфейс виглядав переконливо: форма введення картки, перевірка номера за алгоритмом Луна, поля для адреси та інших даних. Після введення інформації скрипт надсилав дані зловмисникам і перенаправляв покупця на справжню сторінку оплати. У більшості випадків підміна залишалася непоміченою.

Зібрані дані шифрувалися за допомогою простого XOR з ключем «script», потім кодувалися в base64 і відправлялися на один із шести доменів. Всі адреси вели на один сервер у Нідерландах. Кінцева точка прийому маскувалася під сервіс аналітики Facebook, що додатково ускладнювало виявлення.

Імовірною точкою входу, за даними Sansec, стала експлуатація вразливості PolyShell. Вразливість продовжує зачіпати незахищені магазини Magento і дозволяє завантажувати шкідливі файли без жодних обмежень.

Після передачі даних скрипт зберігав спеціальний маркер у localStorage браузера, щоб не перехоплювати інформацію повторно, і повертав користувача до звичайного сценарію оформлення замовлення.

Атака торкнулася 99 магазинів, при цьому частина доменів для виведення даних раніше не використовувалася в подібних кампаніях. Фахівці рекомендують перевіряти код сторінок на наявність підозрілих SVG-елементів, аналізувати мережеві запити і терміново закривати вразливості, пов’язані із завантаженням файлів.

Источник: noworries.news