Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери користат SVG трик со пиксел за да сокријат кражба на кредитни картички

Објавено: 09.04.2026

Масовна кампања што зафаќа речиси 100 онлајн продавници кои ја користат Magento платформата за е-трговија крие код за кражба на кредитни картички во SVG (Scalable Vector Graphics) слика со големина од само еден пиксел.

При кликнување на копчето за плаќање (checkout), на жртвата ѝ се прикажува убедлив overlay (преклопен интерфејс) кој може да ги „валидира“ податоците од картичката и информациите за наплата.

Кампањата е откриена од компанијата за е-трговска безбедност Sansec, чии истражувачи сметаат дека напаѓачот најверојатно добил пристап преку искористување на ранливоста PolyShell, објавена во средината на март. PolyShell ги погодува сите стабилни верзии 2 на Magento Open Source и Adobe Commerce, овозможувајќи извршување код без автентикација и преземање на кориснички сметки.

Sansec предупреди дека повеќе од половина од ранливите продавници биле таргетирани во PolyShell нападите, при што во некои случаи биле поставени „скримери“ за платежни картички кои користат WebRTC за тивко извлекување на податоци.

Во најновата кампања, истражувачите откриле дека малициозниот софтвер е вметнат како SVG елемент со големина 1×1 пиксел, со ‘onload’ handler, директно во HTML кодот на целната веб-страница.

„Onload handler-от го содржи целиот payload на скримерот, base64-кодиран во atob() функција и извршен преку setTimeout,“ објаснува Sansec.

„Оваа техника избегнува создавање на надворешни скрипт референци кои безбедносните скенери обично ги означуваат како сомнителни. Целиот малициозен код постои inline, кодиран како еден стринг атрибут.“

Кога ништо не сомневајќи се купувачите ќе кликнат на checkout во компромитираните продавници, малициозен скрипт го пресретнува кликот и прикажува лажен „Secure Checkout“ интерфејс кој содржи полиња за внес на податоци од картичката и форма за наплата.

Податоците за плаќање внесени на оваа страница се валидираат во реално време користејќи Luhn алгоритам, а потоа се испраќаат до напаѓачот во XOR-енкриптиран и base64-обфускиран JSON формат.

Декодиран payload

Sansec идентификуваше шест домени за извлекување на податоци (exfiltration), сите хостирани кај IncogNet LLC (AS40663) во Холандија, при што секој од нив примал податоци од 10 до 15 потврдени жртви.

За заштита од оваа кампања, Sansec ги препорачува следниве мерки:

  • Пребарајте скриени SVG тагови со onload атрибут што користи atob() и отстранете ги од фајловите на веб-страницата
  • Проверете дали постои клучот _mgx_cv во localStorage на прелистувачот, бидејќи тоа може да укажува дека платежни податоци се украдени
  • Следете и блокирајте барања кон /fb_metrics.php или други непознати домени што изгледаат како аналитички сервиси
  • Блокирајте го целиот сообраќај кон IP адресата 23.137.249.67 и поврзаните домени

Во моментот на пишување, Adobe сè уште нема објавено безбедносна надградба што го решава PolyShell пропустот во продукциските верзии на Magento. Поправка е достапна само во pre-release верзијата 2.4.9-alpha3+.

Исто така, Adobe не одговори на повеќекратните барања за коментар на оваа тема.

На сопствениците и администраторите на веб-страници им се препорачува да ги применат сите достапни мерки за ублажување и, доколку е можно, да ја надградат Magento платформата на најновата бета верзија.

Извори:

  • Bleeping Computer – Hackers use pixel-large SVG trick to hide credit card stealer Bleeping Computer