电子商务安全公司Sansec近日发布报告称,一场大规模的支付数据窃取行动正在影响近100家基于Magento平台的在线商店。攻击者将一段恶意代码隐藏在仅为1x1像素大小的矢量图形(SVG)中,通过这种极具隐蔽性的方式绕过常规安全扫描。
研究人员指出,此次攻击很可能是利用了今年3月中旬披露的PolyShell漏洞。该漏洞影响所有Magento开源版及Adobe Commerce稳定版本,允许未经身份验证的攻击者执行远程代码并接管网站账户。据Sansec统计,超过半数存在漏洞的商店已成为PolyShell攻击的目标。
隐蔽的恶意载荷
此次攻击中,恶意程序以SVG元素的形式注入网站HTML代码。Sansec解释称:“onload处理程序包含了完整的窃取载荷,通过Base64编码隐藏在atob()调用中,并利用setTimeout函数执行。”
这种做法避免了创建外部脚本引用,因为大多数安全扫描器通常只检查外部链接的威胁。恶意代码直接以内联字符串的形式存在于网站页面中,当用户点击“结账”按钮时,攻击脚本会拦截操作,并弹出一个伪造的“安全结账”覆盖层。该界面会诱导用户输入信用卡号及账单信息,随后通过Luhn算法实时验证数据,并将窃取的信息以XOR加密及Base64混淆的JSON格式外传给攻击者。
Sansec目前已识别出6个外传数据的服务器域名,这些域名均托管在荷兰的IncogNet LLC名下,每个域名平均关联10至15个受害者。调查显示,被盗信息涵盖了用户的完整支付凭证。
截至目前,Adobe尚未针对生产环境中的PolyShell漏洞发布正式安全更新,仅在2.4.9-alpha3及更高版本的预发布版中提供了修复方案。针对屡次询问,Adobe方面未予置评。
安全专家建议,网站管理员应立即检查代码中是否存在带有onload属性的SVG标签,并删除其中包含atob()函数的代码段。此外,检查浏览器本地存储中是否存在“_mgx_cv”键值,也是判断支付数据是否泄露的有效手段。管理员应同时监控并封锁指向/fb_metrics.php的可疑请求,并对荷兰IP地址23.137.249.67实施流量阻断。
