Quase 100 lojas online foram impactadas por uma nova campanha que esconde código de roubo de cartão de crédito em uma imagem SVG de 1x1 pixel. Quando um usuário clica no botão de checkout, uma sobreposição convincente aparece, projetada para roubar detalhes do cartão e informações de faturamento. ### Exploração da Vulnerabilidade PolyShell A campanha foi descoberta pela **Sansec**, uma empresa de segurança de eCommerce. Seus pesquisadores acreditam que os atacantes provavelmente obtiveram acesso inicial explorando a vulnerabilidade **PolyShell**, uma falha de Execução Remota de Código (RCE) divulgada em meados de março.  **PolyShell** afeta todas as instalações estáveis da versão 2 do **Magento Open Source** e **Adobe Commerce**, permitindo a execução de código não autenticado e o completo sequestro de conta. A Sansec alertou anteriormente que mais da metade das lojas vulneráveis haviam sido alvo de ataques **PolyShell**. Alguns ataques chegaram a implantar skimmers de cartão de pagamento usando WebRTC para exfiltração furtiva de dados. ### SVG Onload Handler para Injeção de Malware Nesta última campanha, o malware é injetado como um elemento SVG de 1x1 pixel com um manipulador 'onload' diretamente no HTML do site alvo. A Sansec explica que o manipulador `onload` contém toda a carga útil do skimmer, codificada em base64 dentro de uma chamada `atob()` e executada via `setTimeout`. Essa técnica evita referências de script externas que os scanners de segurança normalmente sinalizam, tornando a detecção mais difícil. ### Sobreposição de Checkout Falsa Quando compradores desavisados clicam no botão de checkout em uma loja comprometida, um script malicioso intercepta a ação e exibe uma sobreposição falsa de "Checkout Seguro". Essa sobreposição inclui campos de detalhes do cartão e um formulário de faturamento, projetados para coletar informações de pagamento confidenciais. Os dados de pagamento enviados nesta página fraudulenta são validados em tempo real usando o algoritmo de Luhn. Os dados roubados são então exfiltrados para o atacante em um formato JSON criptografado com XOR e ofuscado com base64.  *Fonte: Sansec* A Sansec identificou seis domínios de exfiltração, todos hospedados na **IncogNet LLC** (AS40663) na Holanda. Cada domínio está recebendo dados de 10 a 15 vítimas confirmadas. ### Estratégias de Mitigação Para se proteger contra esta campanha em andamento, a Sansec recomenda as seguintes ações: * Procure por tags SVG ocultas com um atributo `onload` usando `atob()` e remova-as dos arquivos do seu site. * Verifique se a chave `_mgx_cv` existe no `localStorage` do navegador, pois isso indica um potencial roubo de dados de pagamento. * Monitore e bloqueie requisições para `/fb_metrics.php` ou quaisquer domínios desconhecidos semelhantes a analytics. * Bloqueie todo o tráfego para o endereço IP `23.137.249.67` e domínios associados. ### Resposta e Recomendações da Adobe No momento da escrita, a **Adobe** não lançou uma atualização de segurança para corrigir a falha **PolyShell** nas versões de produção do **Magento**. Uma correção está disponível apenas na versão pré-lançamento 2.4.9-alpha3+. A **Adobe** não respondeu aos pedidos de comentários sobre este assunto. Proprietários e administradores de sites são fortemente aconselhados a aplicar todas as mitigações disponíveis e, se possível, atualizar o **Magento** para a versão beta mais recente. Pentesting Automatizado Cobre Apenas 1 de 6 Superfícies. Pentesting automatizado prova que o caminho existe. BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro. Este whitepaper mapeia seis superfícies de validação, mostra onde a cobertura termina e fornece aos profissionais três perguntas diagnósticas para qualquer avaliação de ferramenta.