セキュリティ研究者は、SVG画像要素を悪用してMagentoチェックアウトページにクレジットカードスキマーを隠蔽している秘密裏のMagecartキャンペーンを発見しました。このキャンペーンは約100のオンラインストアに影響を与えています。
このキャンペーンは主にMagento基盤の電子商取引プラットフォームを狙っており、初期アクセスベクトルとして長年存在していたPolyShell脆弱性の悪用を示唆する証拠があります。
この脆弱性は引き続きパッチが当たっていないMagento環境に影響を与え、攻撃者がストアページに直接悪意のあるコードを挿入することを可能にしています。
セキュリティスキャナーによって検出されることが多い外部JavaScriptファイルに頼る代わりに、攻撃者は全体的なペイロードを小さく見えない空のSVG画像内に埋め込みます。
悪意のあるコードはbase64エンコードされ、SVGのonloadイベントを介して実行されます。ペイロードはHTML内にインラインで存在するため、疑わしいサードパーティスクリプトを検索する多くの検出メカニズムを回避します。
たとえば、1×1ピクセルのSVG要素がチェックアウトページに注入され、目に見える指標を生じさせることなくページが読み込まれるとすぐに実行がトリガーされます。
一度活性化すると、スキマーはユーザーインタラクションを待ちます。正当なスクリプトが応答する前にチェックアウトボタンのクリックを傍受するためにuseCaptureイベントリスナーを付与します。
このアプローチは被害者が知らずに支払い情報を攻撃者が制御するスクリプトに直接送信することを保証します。
データをキャプチャした後、マルウェアはキー「script」を使用した単純なXOR暗号を使用して暗号化し、その後base64エンコーディングを行います。このデュアルレイヤーの難読化は送信中の検出を回避するのに役立ちます。
注目すべきことに、識別されたすべてのドメインはIPアドレス23.137.249.67に解決され、オランダのIncogNetでホストされています。
疑惑を減らすために、スキマーはデータの盗難に成功した後、ローカルストレージにブラウザフラグ(_mgx_cv)を設定し、同じユーザーを繰り返し標的にすることを防ぎます。
最後に、被害者は正当なチェックアウトページにリダイレクトされ、ユーザーの視点からはこの攻撃はほぼ見えなくなります。
このキャンペーンは、攻撃者がMagecart技術を進化させ続け、SVGのような監視の少ないHTML機能を活用して防御を回避し、大規模にオンラインショッパーを侵害する方法を強調しています。