Enligt en ny rapport från säkerhetsföretaget Sansec har 99 butiker som använder e-handelsplattformen Magento infekterats av skadlig kod. Intrånget har sannolikt skett via sårbarheten "PolyShell", som möjliggör obehörig kodkörning. Väl inne i systemet har angriparna implementerat en metod som är svår att upptäcka för både handlare och konsument.
Falsk kassa läggs över den riktiga
Den skadliga koden injiceras som ett 1x1-pixel stort SVG-element (Scalable Vector Graphics) i e-handelns HTML-kod. När en kund klickar på knappen för att gå till kassan, fångar skriptet upp klicket och visar istället en falsk kassavy i helskärm.
Denna falska kassa ser legitim ut och validerar till och med kontokortets siffror i realtid. Så fort kunden har skrivit in sina uppgifter krypteras informationen och skickas till angriparnas servrar, varpå kunden skickas vidare till butikens riktiga kassa. De flesta konsumenter märker aldrig att ett avbrott har skett.
Sansec förklarar hur angriparna lyckas hålla sig dolda:
Den här tekniken undviker att skapa externa skriptreferenser som säkerhetsskannrar normalt flaggar. Hela den skadliga koden lever inbäddad, kodad som ett enda strängattribut.
SVG-filer: Ett växande säkerhetsproblem
Att SVG-filer används i skadliga syften är inte ett helt nytt fenomen, men det är en metod som har ökat i popularitet bland cyberkriminella. Till skillnad från vanliga bildformat som JPEG och PNG, vilka enbart består av pixeldata, är SVG-filer XML-baserade. Det innebär att de i praktiken är kod och därmed kan innehålla inbäddat JavaScript som interagerar med webbsidan.
Säkerhetsföretaget Cloudflare varnade redan under förra året för att SVG-filer ofta felklassificeras som ofarliga bildfiler av säkerhetssystem. Eftersom de kan hantera aktiva skript används de allt oftare för att skapa omdirigeringar eller till och med bygga in kompletta, fristående nätfiskesidor direkt i filen.
Samma år rapporterade plattformen VirusTotal om en specifik kampanj där över 500 riggade SVG-filer användes för att imitera myndighetsportaler. Flera av dessa filer var vid upptäcktstillfället helt osynliga för samtliga etablerade antivirusprogram. Problematiken har blivit så pass påtaglig att aktörer som Microsoft valt att sluta stödja inbäddade SVG-filer i flera versioner av e-postklienten Outlook.
Så upptäcker du intrånget
För att undersöka om din butik är drabbad bör du eller din tekniska partner granska webbplatsens källkod efter dolda SVG-filer och övervaka nätverkstrafiken för okända utgående anslutningar. Misstänker ni ett intrång finns det specifika spår att leta efter i både koden och i besökarnas webbläsardata. Detaljerade tekniska indikatorer att söka efter finns att tillgå i Sansecs säkerhetsrapport för den som vill djupdyka i detaljerna.
Den viktigaste åtgärden förblir dock preventiv: säkerställ att e-handelsplattformen ständigt hålls uppdaterad och att alla säkerhetspatchar installeras för att stänga de luckor som angriparna utnyttjar.