Près de 100 boutiques en ligne sont touchées par une nouvelle campagne qui dissimule du code de vol de cartes de crédit dans une image SVG de 1x1 pixel. Lorsqu'un utilisateur clique sur le bouton de paiement, une superposition convaincante apparaît, conçue pour voler les détails de la carte et les informations de facturation. ### Exploitation de la vulnérabilité PolyShell La campagne a été découverte par **Sansec**, une entreprise spécialisée dans la sécurité de l'e-commerce. Leurs chercheurs estiment que les attaquants ont probablement obtenu un accès initial en exploitant la vulnérabilité **PolyShell**, une faille d'exécution de code à distance (RCE) divulguée à la mi-mars.  **PolyShell** affecte toutes les installations stables de **Magento Open Source** et **Adobe Commerce** version 2, permettant une exécution de code non authentifiée et une prise de contrôle complète du compte. Sansec avait précédemment averti que plus de la moitié des boutiques vulnérables avaient été ciblées par des attaques **PolyShell**. Certaines attaques déployaient même des skimmers de cartes de paiement utilisant WebRTC pour une exfiltration discrète des données. ### Gestionnaire Onload SVG pour l'injection de malware Dans cette dernière campagne, le malware est injecté sous la forme d'un élément SVG de 1x1 pixel avec un gestionnaire 'onload' directement dans le HTML du site cible. Sansec explique que le gestionnaire `onload` contient la totalité de la charge utile (payload) du skimmer, encodée en base64 à l'intérieur d'un appel `atob()` et exécutée via `setTimeout`. Cette technique évite les références de scripts externes que les scanners de sécurité signalent généralement, rendant la détection plus difficile. ### Superposition de paiement frauduleuse Lorsque des acheteurs peu méfiants cliquent sur le bouton de paiement d'une boutique compromise, un script malveillant intercepte l'action et affiche une fausse superposition "Paiement Sécurisé". Cette superposition comprend des champs pour les détails de la carte et un formulaire de facturation, conçus pour collecter des informations de paiement sensibles. Les données de paiement soumises sur cette page frauduleuse sont validées en temps réel à l'aide de l'algorithme de Luhn. Les données volées sont ensuite exfiltrées vers l'attaquant dans un format JSON chiffré XOR et obfusqué en base64.  *Source : Sansec* Sansec a identifié six domaines d'exfiltration, tous hébergés chez **IncogNet LLC** (AS40663) aux Pays-Bas. Chaque domaine reçoit des données de 10 à 15 victimes confirmées. ### Stratégies d'atténuation Pour se protéger contre cette campagne en cours, Sansec recommande les actions suivantes : * Recherchez les balises SVG cachées avec un attribut `onload` utilisant `atob()` et supprimez-les des fichiers de votre site. * Vérifiez si la clé `_mgx_cv` existe dans le `localStorage` du navigateur, car cela indique un vol potentiel de données de paiement. * Surveillez et bloquez les requêtes vers `/fb_metrics.php` ou tout domaine inconnu ressemblant à de l'analytique. * Bloquez tout le trafic vers l'adresse IP `23.137.249.67` et les domaines associés. ### Réponse et recommandations d'Adobe Au moment de la rédaction, **Adobe** n'a pas publié de mise à jour de sécurité pour corriger la faille **PolyShell** dans les versions de production de **Magento**. Un correctif n'est disponible que dans la version pré-release 2.4.9-alpha3+. **Adobe** n'a pas répondu aux demandes de commentaires sur ce problème. Il est fortement conseillé aux propriétaires et administrateurs de sites web d'appliquer toutes les mesures d'atténuation disponibles et, si possible, de mettre à niveau **Magento** vers la dernière version bêta. Les tests d'intrusion automatisés ne couvrent qu'une surface sur six. Les tests d'intrusion automatisés prouvent l'existence du chemin. BAS prouve si vos contrôles l'arrêtent. La plupart des équipes exécutent l'un sans l'autre. Ce livre blanc cartographie six surfaces de validation, montre où la couverture s'arrête et fournit aux praticiens trois questions de diagnostic pour toute évaluation d'outil.