Uma campanha massiva está a atingir perto de uma centena de lojas online baseadas na plataforma de comércio eletrónico, utilizando uma tática engenhosa para contornar os sistemas de segurança. Os atacantes estão a esconder código malicioso numa imagem SVG do tamanho de um pixel para roubar os dados dos cartões de crédito dos clientes durante o processo de pagamento. A descoberta foi revelada pelos investigadores da Sansec, que detalharam o funcionamento deste novo esquema.
O perigo escondido num único pixel
De acordo com as informações divulgadas, os piratas informáticos aproveitam a vulnerabilidade conhecida como PolyShell, que foi tornada pública a meio de março. Esta falha afeta as instalações do Magento Open Source e do Adobe Commerce na versão estável 2, permitindo a execução de código sem necessidade de autenticação e o controlo total das contas.
A tática foca-se em injetar um elemento SVG de apenas 1x1 pixel no código HTML dos sites visados. Através de um comando integrado na própria imagem, a totalidade do software malicioso é carregada de forma dissimulada. Esta abordagem evita a criação de scripts externos, que seriam facilmente detetados pelas ferramentas de segurança habituais, mantendo toda a ameaça disfarçada numa única linha de código.
Como funciona o roubo de dados
Quando um comprador desprevenido clica no botão de pagamento numa loja comprometida, o script entra em ação e sobrepõe uma janela falsa de pagamento seguro. Este ecrã fraudulento pede as informações do cartão e os dados de faturação. Para tornar o esquema ainda mais credível, as informações submetidas são validadas em tempo real através da verificação de Luhn.
Logo após a validação, os dados são enviados para os atacantes num formato encriptado e ofuscado. A equipa de segurança identificou meia dúzia de domínios usados para esta extração de dados, todos alojados na infraestrutura da IncogNet LLC nos Países Baixos, sendo que cada um recebe informações de dezenas de vítimas confirmadas.
Medidas de proteção e falta de atualizações
Para mitigar este risco, os especialistas aconselham os administradores de sistemas a procurarem ativamente por elementos SVG ocultos que contenham funções suspeitas nos ficheiros dos seus sites. Recomenda-se também a verificação do armazenamento local do navegador e o bloqueio de tráfego para endereços IP e domínios de análise desconhecidos.
Até ao momento, não foi lançada uma atualização de segurança final para colmatar a falha PolyShell nas versões de produção do software, encontrando-se apenas disponível uma correção numa versão inicial de testes. Os responsáveis pelas lojas online são aconselhados a aplicar todas as mitigações possíveis para proteger os consumidores enquanto aguardam por uma solução definitiva.
Nenhum comentário
Seja o primeiro!