Magento電子商取引プラットフォームを使用しているほぼ100のオンラインストアに影響を与える大規模なキャンペーンは、クレジットカード盗聴コードをピクセルサイズのスケーラブルベクターグラフィックス(SVG)画像に隠しています。
チェックアウトボタンをクリックすると、被害者にはカード詳細と請求データを検証できる説得力のあるオーバーレイが表示されます。
このキャンペーンは電子商取引セキュリティ企業Sansecによって発見されました。同社の研究者は、攻撃者が3月中旬に公開されたPolyShell脆弱性を悪用してアクセスを取得した可能性があると考えています。
PolyShellはすべてのMagento Open SourceおよびAdobe Commerce安定版2インストールに影響を与え、認証なしのコード実行とアカウント乗っ取りを可能にします。
Sansecは、脆弱なストアの50%以上がPolyShell攻撃の対象になったと警告しており、場合によってはWebRTCを使用した支払いカードスキマーがステルスデータ流出用に配置されました。
最新のキャンペーンでは、研究者はマルウェアが「onload」ハンドラー付きの1×1ピクセルSVG要素としてターゲットWebサイトのHTMLに注入されていることを発見しました。
「onloadハンドラーには、atob()呼び出し内のbase64エンコードされたスキマーペイロード全体が含まれており、setTimeoutを介して実行されます。」Sansecは説明しています。
「この手法は、セキュリティスキャナーが通常フラグする外部スクリプト参照の作成を回避します。マルウェア全体はインラインで存在し、単一の文字列属性としてエンコードされます。」
不用心な買い手が侵害されたストアでチェックアウトをクリックすると、悪意のあるスクリプトがクリックを傍受し、カード詳細フィールドと請求フォームを含む偽の「セキュアチェックアウト」オーバーレイを表示します。
このページに送信された支払いデータは、Luhn検証を使用してリアルタイムで検証され、XOR暗号化されたbase64難読化JSON形式で攻撃者に流出します。
Sansecは6つの流出ドメインを特定しました。すべてオランダのIncogNet LLC(AS40663)でホストされており、それぞれ10~15人の確認された被害者からデータを取得しています。
このキャンペーンから保護するため、Sansecは以下を推奨しています:
- atob()を使用した「onload」属性を持つ隠されたSVGタグを探し、サイトファイルから削除します
- ブラウザのlocalStorageに_mgx_cvキーが存在するかどうかを確認します。これは支払いデータが盗まれた可能性があることを示しています
- /fb_metrics.phpへのリクエストや見覚えのない分析系ドメインへのリクエストを監視およびブロックします
- IPアドレス23.137.249.67および関連ドメインへのすべてのトラフィックをブロックします
執筆時点で、AdobeはMagento本番版でPolyShell欠陥に対処するセキュリティアップデートをまだリリースしていません。ベンダーはプレリリース版2.4.9-alpha3+でのみ修正を利用可能にしています。
また、Adobeはこのトピックについてのコメント要求に何度も対応していません。
Webサイトオーナー/管理者は、利用可能なすべての軽減策を適用し、可能であればMagentoを最新のベータリリースにアップグレードすることをお勧めします。
