攻撃者がSVG onloadアブ使用してMagento上で隠れたMagecartスキマーを展開

セキュリティ研究者ら、大型のMagecartキャンペーンがMagento向けECプラットフォームを標的としていることを発見

セキュリティ研究者らは、Sansecを通じて、Magento e-commerceプラットフォームを対象とした大規模なMagecartキャンペーンを発見しました。このキャンペーンにより、約100のオンラインストアが高度なクレジットカードスキマーによって感染しています。

攻撃者は、セキュリティスキャナーやモニタリングツールから検出されないようにするために、SVG画像要素内に悪意のあるペイロードを隠す手法を使用しました。この手法はPolyShell脆弱性を利用してサイトへの侵入を行い、未修正のMagento環境で継続的に問題を引き起こしています。

攻撃者は、外部スクリプトをロードする代わりに、1×1ピクセルのSVG画像をストアのHTML内に直接埋め込みます。このペイロードはbase64でエンコードされ、SVGのonloadイベントハンドラーを通じて実行されます。

以下が具体的なインジェクション方法です：

<svg width="1px" height="1px" onload="(()=>{setTimeout(atob('KGZ1bmN0aW9uKCl7IGlm...'),1)})()"></svg>

この手法により、攻撃者は外部スクリプト参照を検出する従来のモニタリングからペイロードを隠すことが可能となります。

インジェクション後、スキマーはショッパーがチェックアウトボタンをクリックしたときにアクティブになります。このとき、スキマーはuseCaptureイベントリスナーを使用してストアの正当なハンドラーよりも優先的に実行されます。

ショッパーには、リアルなカード検証と請求情報入力フィールドを備えた「セキュアチェックアウト」オーバーレイが表示され、攻撃者はユーザーの支払い情報を盗むことができます。

被害者が支払い詳細を提出すると、マルウェアはXOR暗号を使用して「script」というキーでデータを暗号化し、その後base64エンコードします。収集された情報は、攻撃者によって制御される6つのドメインの1つに送信されます。

これらのドメインは、合法的なFacebookアナリティクストラフィック（/fb_metrics.php）として巧妙に偽装されています。

これらのドメインは、オランダに本社を置くIncogNet LLC（AS40663）によってホストされています。

元記事: https://gbhackers.com/attackers-deploy-hidden-magecart-skimmer-on-magento/