Casi 100 tiendas en línea se ven afectadas por una nueva campaña que oculta código para robar tarjetas de crédito en una imagen SVG de 1x1 píxel. Cuando un usuario hace clic en el botón de pago, aparece una superposición convincente, diseñada para robar detalles de tarjetas e información de facturación. ### Explotación de la Vulnerabilidad PolyShell La campaña fue descubierta por **Sansec**, una empresa de seguridad para eCommerce. Sus investigadores creen que los atacantes probablemente obtuvieron acceso inicial explotando la vulnerabilidad **PolyShell**, una falla de Ejecución Remota de Código (RCE) revelada a mediados de marzo.  **PolyShell** afecta a todas las instalaciones de **Magento Open Source** y **Adobe Commerce** en su versión estable 2, permitiendo la ejecución de código sin autenticación y la toma de control total de la cuenta. Sansec advirtió previamente que más de la mitad de las tiendas vulnerables habían sido blanco de ataques **PolyShell**. Algunos ataques incluso desplegaron skimmers de tarjetas de pago utilizando WebRTC para la exfiltración sigilosa de datos. ### Manejador Onload SVG para Inyección de Malware En esta última campaña, el malware se inyecta como un elemento SVG de 1x1 píxel con un manejador 'onload' directamente en el HTML del sitio objetivo. Sansec explica que el manejador `onload` contiene toda la carga útil del skimmer, codificada en base64 dentro de una llamada `atob()` y ejecutada a través de `setTimeout`. Esta técnica evita referencias a scripts externos que los escáneres de seguridad suelen marcar, lo que dificulta la detección. ### Superposición de Pago Falsa Cuando los compradores desprevenidos hacen clic en el botón de pago en una tienda comprometida, un script malicioso intercepta la acción y muestra una superposición falsa de "Pago Seguro". Esta superposición incluye campos para los detalles de la tarjeta y un formulario de facturación, diseñados para cosechar información de pago sensible. Los datos de pago enviados en esta página fraudulenta se validan en tiempo real utilizando el algoritmo de Luhn. Luego, los datos robados se exfiltran al atacante en un formato JSON ofuscado con base64 y cifrado con XOR.  *Fuente: Sansec* Sansec identificó seis dominios de exfiltración, todos alojados en **IncogNet LLC** (AS40663) en los Países Bajos. Cada dominio recibe datos de 10 a 15 víctimas confirmadas. ### Estrategias de Mitigación Para protegerse contra esta campaña en curso, Sansec recomienda las siguientes acciones: * Busque etiquetas SVG ocultas con un atributo `onload` que utilice `atob()` y elimínelas de los archivos de su sitio. * Verifique si la clave `_mgx_cv` existe en el `localStorage` del navegador, ya que esto indica un posible robo de datos de pago. * Monitoree y bloquee las solicitudes a `/fb_metrics.php` o a cualquier dominio desconocido similar a analíticas. * Bloquee todo el tráfico a la dirección IP `23.137.249.67` y a los dominios asociados. ### Respuesta y Recomendaciones de Adobe Al momento de escribir esto, **Adobe** no ha lanzado una actualización de seguridad para abordar la falla **PolyShell** en las versiones de producción de **Magento**. Una solución solo está disponible en la versión preliminar 2.4.9-alpha3+. **Adobe** no ha respondido a las solicitudes de comentarios sobre este problema. Se recomienda encarecidamente a los propietarios y administradores de sitios web que apliquen todas las mitigaciones disponibles y, si es posible, actualicen **Magento** a la última versión beta. Las pruebas de penetración automatizadas cubren solo 1 de 6 superficies. Las pruebas de penetración automatizadas demuestran que el camino existe. BAS demuestra si sus controles lo detienen. La mayoría de los equipos ejecutan uno sin el otro. Este whitepaper mapea seis superficies de validación, muestra dónde termina la cobertura y proporciona a los profesionales tres preguntas de diagnóstico para la evaluación de cualquier herramienta.