Une vaste opération touchant près de 100 boutiques en ligne fonctionnant sur la plateforme Magento a été identifiée, utilisant un code malveillant caché dans une image de type Scalable Vector Graphics (SVG) de taille pixel. Ce code vise à subtiliser les informations des cartes de crédit.
Lors de l’étape de paiement, les victimes se voient présenter un faux écran similaire à l’interface légitime pour saisir leurs informations de carte et de facturation.
Cette campagne a été mise au jour par la firme de sécurité eCommerce Sansec, dont les chercheurs estiment que les attaquants auraient pu accéder aux systèmes via la vulnérabilité PolyShell révélée en mars dernier.
La vulnérabilité PolyShell concerne toutes les installations de versions stables de Magento Open Source et Adobe Commerce 2, permettant l’exécution de code non authentifié et la prise de contrôle de comptes.
Sansec a averti que plus de la moitié des magasins vulnérables ont subi des attaques liées à PolyShell, certaines ayant utilisé des dispositifs de récolte de données de cartes de paiement via WebRTC pour une exfiltration discrète.
Dans cette campagne récente, le malware se distingue par son injection en tant qu’élément SVG de 1×1 pixel comportant un attribut ‘onload’ dans le code HTML des sites ciblés.
“L’attribut onload contient l’intégralité du payload du skimmer, codé en base64 et exécuté par un appel à setTimeout,” précise Sansec.
“Cette méthode évite la création de références de scripts externes qui seraient généralement détectées par les scanners de sécurité. L’intégralité du malware réside en ligne, encodée sous forme d’une seule chaîne d’attributs.”
Lorsque des utilisateurs naïfs cliquent sur le bouton de paiement sur des sites compromis, un script malveillant intercepte cette action et affiche une fausse fenêtre « Secure Checkout » avec des champs pour les informations de carte et un formulaire de facturation.
Les données de paiement soumises sur cette page sont validées en temps réel grâce à la vérification Luhn et exfiltrées vers l’attaquant sous un format JSON obfusqué et chiffré en XOR.
Payload décodé
Source: Sansec
Sansec a identifié six domaines d’exfiltration, tous hébergés par IncogNet LLC (AS40663) aux Pays-Bas, chacun recevant des données de 10 à 15 victimes confirmées.
Pour se prémunir contre cette campagne, Sansec recommande :
- Rechercher des balises SVG cachées avec un attribut onload utilisant atob() et les supprimer des fichiers de votre site.
- Vérifier si la clé _mgx_cv existe dans le localStorage du navigateur, car cela peut indiquer que des données de paiement ont été volées.
- Surveiller et bloquer les requêtes vers /fb_metrics.php ou tout domaine d’analyse suspect.
- Bloquer tout trafic vers l’adresse IP 23.137.249.67 et les domaines associés.
À l’heure actuelle, Adobe n’a pas encore publié de mise à jour de sécurité pour corriger la faille PolyShell dans les versions stables de Magento. Le vendeur a uniquement proposé un correctif dans la version pré-libre 2.4.9-alpha3+.
De plus, Adobe n’a pas répondu à nos demandes répétées de commentaire à ce sujet.
Les propriétaires et administrateurs de sites sont conseillés d’appliquer toutes les mesures de mitigation disponibles et, si possible, de mettre à jour Magento vers la dernière version bêta.