La firma de seguridad en comercio electrónico Sansec ha publicado un informe sobre una campaña masiva de robo de datos que afecta a cerca de 100 tiendas online que operan bajo la plataforma Magento. Los atacantes han logrado ocultar código malicioso dentro de gráficos vectoriales (SVG) de apenas 1x1 píxeles, una técnica altamente sigilosa que les permite eludir los escaneos de seguridad convencionales.
Los investigadores señalan que este ataque aprovecha, muy probablemente, la vulnerabilidad PolyShell, revelada a mediados de marzo. Dicha falla afecta a todas las versiones de código abierto de Magento y a las versiones estables de Adobe Commerce, permitiendo que atacantes no autenticados ejecuten código de forma remota y tomen el control de las cuentas del sitio. Según las estadísticas de Sansec, más de la mitad de las tiendas vulnerables ya han sido blanco de ataques de PolyShell.
Una carga maliciosa invisible
En este ataque, el programa malicioso se inyecta en el código HTML del sitio web como un elemento SVG. Sansec explica: "El controlador 'onload' contiene la carga útil completa del robo, oculta mediante codificación Base64 dentro de una llamada 'atob()' y ejecutada a través de la función 'setTimeout'".
Este método evita la creación de referencias a scripts externos, ya que la mayoría de los escáneres de seguridad suelen centrarse únicamente en amenazas provenientes de enlaces externos. El código malicioso reside directamente en las páginas del sitio como una cadena de texto integrada. Cuando el usuario hace clic en el botón de "pagar", el script intercepta la acción y despliega una ventana emergente falsa de "pago seguro". Esta interfaz engaña al usuario para que introduzca los datos de su tarjeta y su información de facturación; posteriormente, el sistema valida los datos en tiempo real mediante el algoritmo de Luhn y envía la información robada al atacante en formato JSON, cifrada con XOR y ofuscada con Base64.
Sansec ha identificado hasta ahora seis dominios utilizados para la exfiltración de datos, todos ellos alojados bajo el proveedor holandés IncogNet LLC, con un promedio de 10 a 15 víctimas por dominio. La investigación confirma que la información sustraída incluye las credenciales de pago completas de los usuarios.
Hasta la fecha, Adobe no ha publicado una actualización de seguridad oficial para la vulnerabilidad PolyShell en entornos de producción, ofreciendo soluciones únicamente en versiones preliminares (2.4.9-alpha3 y superiores). Adobe no ha emitido comentarios ante las reiteradas consultas al respecto.
Los expertos en seguridad recomiendan a los administradores de sitios web revisar de inmediato su código en busca de etiquetas SVG que contengan el atributo 'onload' y eliminar cualquier fragmento que incluya la función 'atob()'. Asimismo, verificar si existe la clave '_mgx_cv' en el almacenamiento local del navegador es un método eficaz para determinar si los datos de pago han sido comprometidos. Se aconseja también monitorear y bloquear peticiones sospechosas dirigidas a '/fb_metrics.php', así como restringir el tráfico proveniente de la dirección IP holandesa 23.137.249.67.
