- 専門家が1×1 SVG画像に隠されたクレジットカードスキマーを発見
- 偽の「セキュアチェックアウト」オーバーレイがカード情報を盗取
- Magento PolyShellの脆弱性を悪用した可能性、多くのストアに影響
セキュリティ研究者は最近、100近くの侵害されたeコマースウェブサイト上で、クレジットカードスキマーが小さな画像に隠れているのを発見しました。
Sansecの専門家は、多くのeコマースウェブサイトのHTML内で、’onload’ハンドラを含む1×1ピクセルのスケーラブルベクターグラフィックス(SVG)要素を発見したと報告しました。
「onloadハンドラには、atob()呼び出し内にbase64エンコードされた全体のスキマーペイロードが含まれており、setTimeoutを介して実行されます」と研究者は述べました。彼らは、この手法を使用すると、攻撃者は通常セキュリティスキャナーに検出される外部スクリプト参照を作成する必要がないことを説明しました。「マルウェア全体がインラインで存在し、単一の文字列属性としてエンコードされています。」
記事を続ける
PolyShellを活用する
これらのウェブサイトから何かを購入しようとした人々は、チェックアウト時に、カード詳細フィールドと請求フォームが含まれた偽の「セキュアチェックアウト」オーバーレイが表示されます。
このように送信されたすべてのデータは、Luhn検証を使用してリアルタイムで検証され、その後、XOR暗号化、base64難読化JSON形式で攻撃者が管理するサーバーに送信されます。
研究者は、データ抽出に使用された合計6つのドメインを発見し、すべてがオランダでホストされていました。各ドメインは最大15の確認された被害者からデータを取得していました。
ウェブサイトがどのように侵害された可能性があるかについて議論し、Sansecは、攻撃者がPolyShellを利用した可能性があると述べました。PolyShellは、Magento Open SourceとAdobe Commerceの安定版2インストレーションに影響を与える脆弱性で、今年の3月中旬に発見されました。PolyShellを発見した者でもあるSansecは、当時進行中の攻撃について警告していました。
「PolyShellの大規模な悪用は3月19日に始まり、Sansecはすべての脆弱なストアの56.7%でPolyShell攻撃を発見しました」とSansecは述べ、ターゲットとなったサイトの正確な数は示しませんでした。
Adobeはパッチを提供しましたが、修正はバージョン2.4.9の2番目のアルファリリースでのみ利用可能であり、本番版は脆弱性のままでした。
これは今日でも同じ状況が続いており、Sansecはユーザーに隠されたSVGタブを探すとともに、攻撃者のサーバーからのトラフィックを監視およびブロックすることを推奨しています。
もちろん、あなたもTikTokでTechRadarをフォローしてニュース、レビュー、アンボックス動画を確認し、WhatsAppでも定期的な更新を受け取ることができます。
