Fast 100 Online-Shops sind von einer neuen Kampagne betroffen, die Kreditkartendaten-stehlenden Code in einem 1x1 Pixel großen SVG-Bild versteckt. Wenn ein Benutzer auf die Schaltfläche zum Bezahlen klickt, erscheint eine überzeugende Überlagerung, die darauf ausgelegt ist, Kartendaten und Rechnungsdetails zu stehlen. ### Ausnutzung der PolyShell-Schwachstelle Die Kampagne wurde von **Sansec**, einem auf E-Commerce-Sicherheit spezialisierten Unternehmen, entdeckt. Die Forscher gehen davon aus, dass die Angreifer wahrscheinlich durch Ausnutzung der **PolyShell**-Schwachstelle, einer Mitte März bekannt gegebenen Remote Code Execution (RCE)-Schwachstelle, den ersten Zugriff erlangten.  **PolyShell** betrifft alle stabilen Versionen 2 von **Magento Open Source** und **Adobe Commerce** und ermöglicht nicht authentifizierte Codeausführung und vollständige Account-Übernahme. Sansec warnte bereits zuvor, dass über die Hälfte der anfälligen Shops von **PolyShell**-Angriffen betroffen waren. Einige Angriffe setzten sogar Zahlungskartenskimmer ein, die WebRTC für heimliche Datenexfiltration nutzten. ### SVG Onload Handler für Malware-Injektion Bei dieser neuesten Kampagne wird die malware als 1x1-Pixel-SVG-Element mit einem 'onload'-Handler direkt in das HTML der Zielwebsite injiziert. Sansec erklärt, dass der `onload`-Handler die gesamte Skimmer-Payload enthält, base64-kodiert in einem `atob()`-Aufruf und ausgeführt über `setTimeout`. Diese Technik vermeidet externe Skriptreferenzen, die Sicherheitsscanner normalerweise kennzeichnen, was die Erkennung erschwert. ### Gefälschte Checkout-Überlagerung Wenn ahnungslose Käufer auf einem kompromittierten Shop auf die Schaltfläche zum Bezahlen klicken, fängt ein bösartiges Skript die Aktion ab und zeigt eine gefälschte "Secure Checkout"-Überlagerung an. Diese Überlagerung enthält Felder für Kartendaten und ein Rechnungsformular, das darauf ausgelegt ist, sensible Zahlungsinformationen zu sammeln. Die auf dieser betrügerischen Seite eingegebenen Zahlungsdaten werden in Echtzeit mit dem Luhn-Algorithmus validiert. Die gestohlenen Daten werden dann in einem XOR-verschlüsselten, base64-obfuskierten JSON-Format an den Angreifer exfiltriert.  *Quelle: Sansec* Sansec identifizierte sechs Exfiltrations-Domains, die alle bei **IncogNet LLC** (AS40663) in den Niederlanden gehostet werden. Jede Domain empfängt Daten von 10 bis 15 bestätigten Opfern. ### Abhilfemaßnahmen Um sich vor dieser laufenden Kampagne zu schützen, empfiehlt Sansec folgende Maßnahmen: * Suchen Sie nach versteckten SVG-Tags mit einem `onload`-Attribut, das `atob()` verwendet, und entfernen Sie diese aus Ihren Website-Dateien. * Prüfen Sie, ob der Schlüssel `_mgx_cv` im Browser-`localStorage` vorhanden ist, da dies auf einen potenziellen Diebstahl von Zahlungsdaten hinweist. * Überwachen und blockieren Sie Anfragen an `/fb_metrics.php` oder an unbekannte Analytics-ähnliche Domains. * Blockieren Sie den gesamten Datenverkehr zur IP-Adresse `23.137.249.67` und zugehörigen Domains. ### Adobes Reaktion und Empfehlungen Zum Zeitpunkt der Erstellung dieses Artikels hat **Adobe** kein Sicherheitsupdate zur Behebung der **PolyShell**-Schwachstelle in Produktionsversionen von **Magento** veröffentlicht. Eine Korrektur ist nur in der Vorabversion 2.4.9-alpha3+ verfügbar. **Adobe** hat auf Anfragen zu diesem Thema nicht reagiert. Website-Besitzern und Administratoren wird dringend empfohlen, alle verfügbaren Abhilfemaßnahmen zu ergreifen und, wenn möglich, **Magento** auf die neueste Beta-Version zu aktualisieren. Automatisierte Pentests decken nur 1 von 6 Oberflächen ab. Automatisierte Pentests beweisen, dass der Pfad existiert. BAS beweist, ob Ihre Kontrollen ihn stoppen. Die meisten Teams führen das eine ohne das andere durch. Dieses Whitepaper kartiert sechs Validierungsoberflächen, zeigt, wo die Abdeckung endet, und bietet Praktikern drei Diagnosefragen für jede Tool-Bewertung.