Chiến dịch tấn công Magento: Giấu mã đánh cắp thẻ trong ảnh SVG “1 pixel”

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.792 bài viết
Chiến dịch tấn công Magento: Giấu mã đánh cắp thẻ trong ảnh SVG “1 pixel”
WhiteHat Team
Một chiến dịch tấn công diện rộng nhắm vào gần 100 website thương mại điện tử sử dụng nền tảng Magento. Đáng chú ý là kẻ tấn công sử dụng kỹ thuật ẩn mã độc tinh vi khi nhúng toàn bộ mã đánh cắp thông tin thẻ tín dụng vào một ảnh SVG có kích thước chỉ 1x1 pixel.
1775809909096.png

Theo phân tích, mã độc được chèn trực tiếp vào HTML của website dưới dạng một thẻ SVG có thuộc tính onload. Bên trong là payload đã được mã hóa base64, sau đó được giải mã bằng hàm atob() và thực thi thông qua setTimeout. Cách triển khai này giúp mã độc tồn tại ngay trong trang web mà không cần tải script từ nguồn bên ngoài, qua đó né tránh nhiều cơ chế phát hiện truyền thống.

Người dùng gần như không nhận thấy dấu hiệu bất thường. Khi nhấn nút “Thanh toán”, mã JavaScript độc hại sẽ chặn sự kiện click và hiển thị một lớp giao diện giả mạo giống hệt trang “Secure Checkout”. Tại đây, nạn nhân được yêu cầu nhập thông tin thẻ và dữ liệu thanh toán.

Dữ liệu sau khi nhập được kiểm tra hợp lệ ngay trên trình duyệt bằng thuật toán Luhn, rồi bị gửi về máy chủ của kẻ tấn công dưới dạng JSON đã được mã hóa XOR và tiếp tục làm rối bằng base64, khiến việc phát hiện trở nên khó khăn hơn.
1775809924158.png

Nguồn dữ liệu đã được giải mã - Ảnh: Sansec

Theo báo cáo, chiến dịch này nhiều khả năng bắt nguồn từ việc khai thác lỗ hổng PolyShell, một lỗ hổng nghiêm trọng ảnh hưởng tới các phiên bản Magento Open Source và Adobe Commerce 2, cho phép thực thi mã từ xa mà không cần xác thực.

Theo các chuyên gia WhiteHat, đây là một chiến dịch tấn công chuỗi cung ứng thương mại điện tử, kết hợp giữa khai thác lỗ hổng và kỹ thuật ẩn mình tinh vi thông qua định dạng đồ họa vector. Việc lợi dụng khoảng trễ trong quá trình phát hành bản vá từ nhà cung cấp cho thấy mức độ tổ chức cao và khả năng tận dụng thời cơ của các nhóm tội phạm mạng.

Nhiều website mục tiêu đã từng bị khai thác trước đó và nay tiếp tục bị cài mã đánh cắp thông tin thanh toán với kỹ thuật ngày càng khó phát hiện.

Để giảm thiểu rủi ro, quản trị viên cần rà soát mã nguồn, đặc biệt chú ý các thẻ SVG bất thường có chứa onload và atob(). Đồng thời kiểm tra localStorage với khóa _mgx_cv – dấu hiệu cho thấy dữ liệu có thể đã bị thu thập. Các kết nối tới endpoint lạ như /fb_metrics.php hoặc địa chỉ IP 23.137.249.67 cũng cần được giám sát và chặn kịp thời.

Hiện bản vá cho lỗ hổng PolyShell vẫn chưa được phát hành chính thức, do đó các đơn vị vận hành cần chủ động áp dụng biện pháp phòng thủ và cân nhắc nâng cấp lên phiên bản mới nhất có sẵn để hạn chế nguy cơ bị tấn công.
Theo Bleeping Computer

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hơn 1.000 máy chủ ComfyUI bị chiếm quyền, hóa mỏ đào coin trong chiến dịch botnet lớn
  • Chiến dịch prt-scan lợi dụng GitHub Actions để đánh cắp token và dữ liệu nhạy cảm
  • Chiến dịch thao túng tâm lý quy mô lớn nhắm vào các "kiến trúc sư" Node.js
  • Amazon bị kéo vào chiến sự khi Iran tuyên bố tập kích, Internet toàn cầu sẽ gặp nạn phải không?
  • Cảnh báo: Chiến dịch lừa đảo quy mô lớn nhắm vào lập trình viên trên GitHub
  • Chiến dịch DarkSword: Chỉ cần mở web iPhone có thể lập tức bị chiếm quyền
    • Thẻ
    cảnh báo an ninh mạng magento lỗ hổng polyshell magento mã độc ẩn trong svg 1 pixel mã độc đánh cắp thẻ tín dụng magento skimmer thanh toán trực tuyến tấn công website thương mại điện tử
    Bên trên