📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha massiva que impactou quase 100 lojas online que usam a plataforma de comércio eletrônico Magento esconde o código de roubo de cartão de crédito em uma imagem Scalable Vector Graphics (SVG) do tamanho de um pixel.
Ao clicar no botão de finalização da compra, a vítima vê uma sobreposição convincente que pode validar detalhes do cartão e dados de cobrança.
A campanha foi descoberta pela empresa de segurança de comércio eletrônico Sansec, cujos pesquisadores acreditam que o invasor provavelmente obteve acesso explorando a vulnerabilidade PolyShell divulgada em meados de março.
O PolyShell afeta todas as instalações da versão 2 estável do Magento Open Source e do Adobe Commerce, permitindo a execução de código não autenticado e o controle de contas.
A Sansec alertou que mais da metade de todas as lojas vulneráveis foram alvo de ataques PolyShell, que em alguns casos implantaram skimmers de cartões de pagamento usando WebRTC para exfiltração furtiva de dados.
Na última campanha, os pesquisadores descobriram que o malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ no HTML do site alvo.
“O manipulador onload contém toda a carga útil do skimmer, codificada em base64 dentro de uma chamada atob() e executada via setTimeout”, explica Sansec.
"Essa técnica evita a criação de referências de script externas que os scanners de segurança normalmente sinalizam. Todo o malware permanece em linha, codificado como um único atributo de string."
Quando compradores desavisados clicam em checkout em lojas comprometidas, um script malicioso intercepta o clique e exibe uma falsa sobreposição de “Checkout seguro” que inclui campos de detalhes do cartão e um formulário de cobrança.
Os dados de pagamento enviados nesta página são validados em tempo real usando a verificação Luhn e exfiltrados para o invasor em um formato JSON criptografado por XOR e ofuscado em base64.
Carga útil decodificadaFonte: Sansec
A Sansec identificou seis domínios de exfiltração, todos hospedados na IncogNet LLC (AS40663) na Holanda, e cada um obtendo dados de 10 a 15 vítimas confirmadas.
Para se proteger contra esta campanha, a Sansec recomenda o seguinte:
Procure tags SVG ocultas com um atributo onload usando atob() e remova-as dos arquivos do seu site
Verifique se a chave _mgx_cv existe no localStorage do navegador, pois isso indica que os dados de pagamento podem ter sido roubados
Monitore e bloqueie solicitações para /fb_metrics.php ou qualquer domínio desconhecido do tipo analítico
Bloqueie todo o tráfego para o endereço IP 23.137.249.67 e domínios associados
Até o momento, a Adobe ainda não lançou uma atualização de segurança para resolver a falha PolyShell nas versões de produção do Magento. O fornecedor disponibilizou uma correção apenas na versão de pré-lançamento 2.4.9-alpha3+.
Além disso, a Adobe não respondeu aos nossos repetidos pedidos de comentários sobre o assunto.
Proprietários/administradores de sites são aconselhados a aplicar todas as mitigações disponíveis e, se possível, atualizar o Magento para a versão beta mais recente.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Ao clicar no botão de finalização da compra, a vítima vê uma sobreposição convincente que pode validar detalhes do cartão e dados de cobrança.
A campanha foi descoberta pela empresa de segurança de comércio eletrônico Sansec, cujos pesquisadores acreditam que o invasor provavelmente obteve acesso explorando a vulnerabilidade PolyShell divulgada em meados de março.
O PolyShell afeta todas as instalações da versão 2 estável do Magento Open Source e do Adobe Commerce, permitindo a execução de código não autenticado e o controle de contas.
A Sansec alertou que mais da metade de todas as lojas vulneráveis foram alvo de ataques PolyShell, que em alguns casos implantaram skimmers de cartões de pagamento usando WebRTC para exfiltração furtiva de dados.
Na última campanha, os pesquisadores descobriram que o malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ no HTML do site alvo.
“O manipulador onload contém toda a carga útil do skimmer, codificada em base64 dentro de uma chamada atob() e executada via setTimeout”, explica Sansec.
"Essa técnica evita a criação de referências de script externas que os scanners de segurança normalmente sinalizam. Todo o malware permanece em linha, codificado como um único atributo de string."
Quando compradores desavisados clicam em checkout em lojas comprometidas, um script malicioso intercepta o clique e exibe uma falsa sobreposição de “Checkout seguro” que inclui campos de detalhes do cartão e um formulário de cobrança.
Os dados de pagamento enviados nesta página são validados em tempo real usando a verificação Luhn e exfiltrados para o invasor em um formato JSON criptografado por XOR e ofuscado em base64.
Carga útil decodificadaFonte: Sansec
A Sansec identificou seis domínios de exfiltração, todos hospedados na IncogNet LLC (AS40663) na Holanda, e cada um obtendo dados de 10 a 15 vítimas confirmadas.
Para se proteger contra esta campanha, a Sansec recomenda o seguinte:
Procure tags SVG ocultas com um atributo onload usando atob() e remova-as dos arquivos do seu site
Verifique se a chave _mgx_cv existe no localStorage do navegador, pois isso indica que os dados de pagamento podem ter sido roubados
Monitore e bloqueie solicitações para /fb_metrics.php ou qualquer domínio desconhecido do tipo analítico
Bloqueie todo o tráfego para o endereço IP 23.137.249.67 e domínios associados
Até o momento, a Adobe ainda não lançou uma atualização de segurança para resolver a falha PolyShell nas versões de produção do Magento. O fornecedor disponibilizou uma correção apenas na versão de pré-lançamento 2.4.9-alpha3+.
Além disso, a Adobe não respondeu aos nossos repetidos pedidos de comentários sobre o assunto.
Proprietários/administradores de sites são aconselhados a aplicar todas as mitigações disponíveis e, se possível, atualizar o Magento para a versão beta mais recente.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #hackers #usam #truque #svg #de #pixels #grandes #para #esconder #ladrão #de #cartão #de #crédito
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário